13.9. CA EE Portal を使用した証明書の登録のサーバー専用鍵生成の設定

本セクションでは、CA EE ポータルを使用して、証明書登録の Server-Side Key Generation を設定する方法を説明します。

13.9.1. インストール設定

注記
サーバー側 Keygen を設定するには、CA に加えて KRA インスタンスが必要です。
注記
CA と KRA が Tomcat インスタンスを共有している場合は、上記の手順を実行してトランスポート証明書をインポートする必要はありません。
CA インスタンスおよび KRA インスタンスをインストールした後に、スタンドアロンの Tomcat Web サーバーインスタンスの場合には、CA の nssdb に KRA トランスポート証明書を追加する必要があります。
  1. まず、CA を停止します。
    systemctl stop pki-tomcatd@ca_instance_name.service
    以下に例を示します。
    # systemctl stop pki-tomcatd@pki-ca.service
  2. KRA トランスポート証明書を検索し、ファイルにエクスポートします。
    grep "kra.transport.cert=" /var/lib/pki/kra_instance_name/kra/conf/CS.cfg | sed 's/kra.transport.cert=//' > kra transport cert file
    以下に例を示します。
    # grep "kra.transport.cert=" /var/lib/pki/pki-kra/kra/conf/CS.cfg | sed 's/kra.transport.cert=//' > /tmp/kraTransport.cert
  3. CA の CS.cfg ファイルで指定されているニックネームを使用して、KRA トランスポート証明書を CA の nssdb にインポートします。
    1. トランスポート証明書のニックネームを一覧表示します。
    grep "ca.connector.KRA.transportCertNickname" /var/lib/pki/ca_instance_name/ca/conf/CS.cfg
    以下に例を示します。
    # grep "ca.connector.KRA.transportCertNickname" /var/lib/pki/pki-ca/ca/conf/CS.cfg
    								ca.connector.KRA.transportCertNickname=KRA transport cert
    
    • 前の手順に記載されているニックネームを使用して証明書をインポートします。
    certutil -d /var/lib/pki/ca_instance_name/alias -A -t “,,” -n transportNickName -i kra transport cert file
    以下に例を示します。
    # certutil -d /var/lib/pki/pki-ca/alias -A -t “,,” -n "KRA transport cert" -i /tmp/kraTransport.cert
  4. CA を起動します。
    systemctl start pki-tomcatd@ca_instance_name.service
    以下に例を示します。
    # systemctl start pki-tomcatd@pki-ca.service