第9章 ECC システム証明書を使用するインスタンスのインストール

楕円曲線暗号 (ECC) は、RSA スタイルの暗号化よりも優先される場合があります。これは、使用するキーの長さがはるかに短く、証明書の生成が高速になるためです。ECC 対応の CA は、ECC 署名証明書を使用して、RSA 証明書と ECC 証明書の両方を発行できます。
Certificate Systemには ECC 機能に対するネイティブサポートが含まれています。このサポートはデフォルトで NSS 3.16 以降で有効になっています。ハードウェアセキュリティーモジュール (HSM) などのサードパーティーの PKCS #11 モジュールを読み込み、使用することも可能です。ECC モジュールを使用するには、サブシステムインスタンスを設定する前に読み込む必要があります。
重要
サードパーティーの ECC モジュールには SELinux ポリシーが設定されている必要があります。もしくは、このモジュールが機能するには、SELinux を enforcing モードから permissive モードに変更する必要があります。それ以外の場合は、ECC モジュールを必要とするサブシステム操作は失敗します。

9.1. サードパーティーの ECC モジュールの読み込み

サードパーティーの ECC モジュールの読み込みは、Certificate Systemでサポートされる HSM の読み込みと同じ原則に従います。これは 8章サブシステムセキュリティーデータベース用のハードウェアセキュリティーモジュールの使用 で説明されています。詳細は、本章を参照してください。