10.7. マスターとクローンの変換

CRL を生成する 1 つのアクティブな CA のみが、同じトポロジー内に存在できます。同様に、CRL を受信する OCSP は 1 つだけ同じトポロジー内に存在できます。そのため、クローンはいくつでも存在できますが、CA および OCSP 用に構成されたマスターは 1 つだけです。
KRA と TKS の場合、マスターとクローンの間に構成の違いはありませんが、CA と OCSP にはいくつかの構成の違いがあります。これは、マスターがオフラインになった場合、障害やメンテナンスのため、または PKI 内のサブシステムの機能を変更するために、既存のマスターをクローンに再構成し、クローンの 1 つをマスターに昇格させなければならないことを意味します。

10.7.1. CA クローンおよびマスターの変換

  1. マスター CA が実行中の場合は停止します。
  2. 既存のマスター CA 設定ディレクトリーを開きます。
    cd /var/lib/pki/instance_name/ca/conf
  3. マスターの CS.cfg ファイルを編集し、CRL およびメンテナンススレッド設定をクローンとして設定します。
    • データベースメンテナンススレッドの制御を無効にします。
      ca.certStatusUpdateInterval=0
    • データベースのレプリケーション変更の監視を無効にします。
      ca.listenToCloneModifications=false
    • CRL キャッシュのメンテナンスを無効にします。
      ca.crl.IssuingPointId.enableCRLCache=false
    • CRL 生成を無効にします。
      ca.crl.IssuingPointId.enableCRLUpdates=false
    • CRL 要求を新規マスターにリダイレクトするように CA を設定します。
      master.ca.agent.host=new_master_hostname
      master.ca.agent.port=new_master_port
  4. クローン作成された CA サーバーを停止します。
    systemctl stop pki-tomcatd@instance_name.service
  5. クローン CA の設定ディレクトリーを開きます。
    cd /etc/instance_name
  6. CS.cfg ファイルを編集して、クローンを新規マスターとして設定します。
    1. ca.crl. 接頭辞で開始する各行を削除します。
    2. ca.crl. で始まる各行を、以前のマスター CA CS.cfg ファイルから、クローン作成された CA の CS.cfg ファイルにコピーします。
    3. データベースメンテナンススレッドの制御を有効にします。マスター CA のデフォルト値は 600 です。
      ca.certStatusUpdateInterval=600
    4. データベースのレプリケーションのモニタリングを有効にします。
      ca.listenToCloneModifications=true
    5. CRL キャッシュのメンテナンスを有効にします。
      ca.crl.IssuingPointId.enableCRLCache=true
    6. CRL 生成を有効にします。
      ca.crl.IssuingPointId.enableCRLUpdates=true
    7. CRL 生成要求のリダイレクト設定を無効にします。
      master.ca.agent.host=hostname
      master.ca.agent.port=port number
  7. 新規マスター CA サーバーを起動します。
    systemctl start pki-tomcatd@instance_name.service