7.7.3. インストールの最初ステップ用の設定ファイルの作成

/root/config.txtなどの構成設定用のテキストファイルを作成し、これを以下の設定で入力します。
重要
本セクションでは、Certificate System と同じホストで実行している Directory Server の最低限の設定を説明します。環境に応じて、追加パラメーターが必要になる場合があります。その他の例は、pkispawn(8) の man ページの 『EXAMPLES』 セクションを参照してください。
本セクションで説明されているパラメーターの説明は、pki_default.cfg(5) の man ページを参照してください。

サブシステムに依存しない設定

インストールするサブシステムとは関係なく、構成ファイルには次の設定が必要です。
  1. Certificate System admin ユーザー、PKCS #12 ファイル、および Directory Server のパスワードを設定します。
    [DEFAULT]
    pki_admin_password=password
    pki_client_pkcs12_password=password
    pki_ds_password=password
  2. 同じホストで実行している Directory Server への LDAPS 接続を使用するには、設定ファイルの [DEFAULT] セクションに以下のパラメーターを追加します。
    pki_ds_secure_connection=True
    pki_ds_secure_connection_ca_pem_file=path_to_CA_or_self-signed_certificate
    注記
    セキュリティー上の理由から、Red Hat は、Directory Server への暗号化された接続を使用することを推奨します。
    Directory Server で自己署名証明書を使用する場合は、以下のコマンドを使用して Directory Server の Network Security Services (NSS) データベースからエクスポートします。
    # certutil -L -d /etc/dirsrv/slapd-instance_name/ \
         -n "server-cert" -a -o /root/ds.crt
重要
デフォルトでは、Certificate Systemは、インストール後に ~/.dogtag/instance_name/subsystem/alias クライアントデータベースを削除します。セキュリティー上の理由から、Red Hat は、構成ファイルの pki_client_database_purge パラメーターを有効にしないことをお勧めします。このパラメータを手動で True に設定した場合、Certificate Systemは、インストール後にクライアントデータベースを削除しません。
初期設定ファイルを作成したら、サブシステム固有の設定を追加します。以下を参照してください。

CA 設定

「サブシステムに依存しない設定」 に加え、CA をインストールするために以下の設定が必要になります。
  1. セキュリティーを強化するには、設定ファイルに次の設定を持つ [CA] を追加して、ランダムなシリアル番号を有効にします。
    [CA]
    pki_random_serial_numbers_enable=true
  2. 必要に応じて、[CA] セクションに以下のパラメーターを設定して、admin ユーザーのデータを指定します。これは、インストール時に自動的に作成されます。
    pki_admin_nickname=caadmin
    pki_admin_name=CA administrator account
    pki_admin_password=password
    pki_admin_uid=caadmin
    pki_admin_email=caadmin@example.com
    Certificate Systemは、このアカウントに管理者権限を割り当てます。インストール後にこのアカウントを使用して、Certificate System を管理し、さらにユーザーアカウントを作成します。
  3. Certificate System が一意のニックネームを生成できるようにするには、[DEFAULT] セクションで次のパラメーターを設定します。
    pki_instance_name=instance_name
    pki_security_domain_name=example.com Security Domain
    pki_host=server.example.com
    重要
    ネットワーク共有ハードウェアセキュリティーモジュール (HSM) を使用して Certificate System をインストールする場合は、一意の証明書のニックネームを使用する必要があります。
  4. 必要に応じて、証明書の生成時に、RSA ではなく Elliptic Curve Cryptography (ECC) を使用するには、以下を実行します。
    1. [DEFAULT] セクションに以下のパラメーターを追加します。
      pki_admin_key_algorithm=SHA256withEC
      pki_admin_key_size=nistp256
      pki_admin_key_type=ecc
      pki_sslserver_key_algorithm=SHA256withEC
      pki_sslserver_key_size=nistp256
      pki_sslserver_key_type=ecc
      pki_subsystem_key_algorithm=SHA256withEC
      pki_subsystem_key_size=nistp256
      pki_subsystem_key_type=ecc
    2. [CA] セクションに以下のパラメーターを追加します。
      pki_ca_signing_key_algorithm=SHA256withEC
      pki_ca_signing_key_size=nistp256
      pki_ca_signing_key_type=ecc
      pki_ca_signing_signing_algorithm=SHA256withEC
      pki_ocsp_signing_key_algorithm=SHA256withEC
      pki_ocsp_signing_key_size=nistp256
      pki_ocsp_signing_key_type=ecc
      pki_ocsp_signing_signing_algorithm=SHA256withEC
    3. [CA] セクションに以下のパラメーターを追加して、ECC プロファイルで RSA プロファイルを上書きします。
      pki_source_admincert_profile=/usr/share/pki/ca/conf/eccAdminCert.profile
      pki_source_servercert_profile=/usr/share/pki/ca/conf/eccServerCert.profile
      pki_source_subsystemcert_profile=/usr/share/pki/ca/conf/eccSubsystemCert.profile
      

他のサブシステムの設定

「サブシステムに依存しない設定」 に加え、下位 CA、KRA、OCSP、TKS、または TPS をインストールする必要があります。
  1. 以下のエントリーを設定ファイルの [DEFAULT] セクションに追加します。
    pki_client_database_password=password
  2. TPS をインストールしている場合は、以下を行います。
    1. 次のセクションに次のセクションを追加します。
      [TPS]
      pki_authdb_basedn=basedn_of_the_TPS_authentication_database
    2. 必要に応じて、TPS が共有 CA インスタンスにすでにインストールされている KRA を利用してサーバー側のキー生成を使用するように構成するには、[TPS] セクションに次のエントリーを追加します。
      pki_enable_server_side_keygen=True