7.8.2. 外部 CA を使用したサブシステムのインストール

本セクションでは、証明書が外部 CA により署名される下位 CA または他のサブシステムを設定する方法を説明します。

外部 CA インストール用の設定ファイルの準備

サブシステムを Certificate System またはスタンドアロンに統合するかどうかに応じて、設定ファイルを準備します。
  • 既存の Certificate System インストールに統合されていて、外部 CA により署名された証明書を使用するサブシステムをインストールする場合は、以下を行います。
    1. サブシステムの設定ファイルを作成します。「インストールの最初ステップ用の設定ファイルの作成」 を参照してください。
    2. 以下の設定を設定ファイルに追加します。
      • CA インストールの場合:
        pki_external=True
        pki_external_step_two=False
        
        pki_storage_csr_path=/home/user_name/kra_storage.csr
        pki_transport_csr_path=/home/user_name/kra_transport.csr
        pki_subsystem_csr_path=/home/user_name/subsystem.csr
        pki_sslserver_csr_path=/home/user_name/sslserver.csr
        pki_audit_signing_csr_path=/home/user_name/kra_audit_signing.csr
        pki_admin_csr_path=/home/user_name/kra_admin.csr
      • KRA インストールの場合:
        pki_external=True
        pki_external_step_two=False
        
        pki_storage_csr_path=/home/user_name/kra_storage.csr
        pki_transport_csr_path=/home/user_name/kra_transport.csr
        pki_subsystem_csr_path=/home/user_name/subsystem.csr
        pki_sslserver_csr_path=/home/user_name/sslserver.csr
        pki_audit_signing_csr_path=/home/user_name/kra_audit_signing.csr
        pki_admin_csr_path=/home/user_name/kra_admin.csr
      • OCSP インストールの場合:
        pki_external=True
        pki_external_step_two=False
        
        pki_ocsp_signing_csr_path=/home/user_name/ocsp_signing.csr
        pki_subsystem_csr_path=/home/user_name/subsystem.csr
        pki_sslserver_csr_path=/home/user_name/sslserver.csr
        pki_audit_signing_csr_path=/home/user_name/ocsp_audit_signing.csr
        pki_admin_csr_path=/home/user_name/ocsp_admin.csr
  • 既存の Certificate System インストールに統合されていないスタンドアロンの KRA または OCSP をインストールする場合は、「スタンドアロン KRA または OCSP の設定」 に記載されている手順を実行します。

外部 CA を使用したサブシステムのインストールの開始

設定ファイルを使用してインストールを開始するには、以下を行います。
  1. pkispawn ユーティリティーを使用して、インストールを開始します。
    # pkispawn -f /root/config.txt -s subsystem
    subsystem を、インストールするサブシステム (CAKRA、または OCSP) に置き換えます。
    このステップでは、セットアップでは、設定で指定されたファイルに CSR が保管されます。
  2. 外部 CA に CSR を送信します。CA が対応する証明書を発行した後に続行します。
    特定の環境では、外部 CA が Certificate System インスタンスでもある場合は、PKCS#10 形式の CSR を、CA に送信する前に ESP 形式に変換する必要があります。証明 書の発行に関する詳細は、『 『Red Hat Certificate System Administration Guide』』 の「証明書発行」セクション を参照してください。
  3. オプションで、インストールをカスタマイズします。詳細は、「インストール手順間の設定のカスタマイズ」 を参照してください。
  4. 外部 CA が証明書を発行したら、デプロイメント設定ファイルを編集します。
    1. pki_external_step_twoTrueに設定します。
      pki_external_step_two=True
    2. インストールするサブシステムに応じて、以下のパラメーターを追加します。
      • CA の場合は、証明書ファイルへのパスを設定します。以下に例を示します。
        pki_ca_signing_cert_path=/home/user_name/ca_signing.crt
        指定したファイルに証明書チェーンを含む証明書が含まれていない場合は、さらに証明書チェーンファイルへのパスとニックネームを指定します。以下に例を示します。
        pki_cert_chain_path=/home/user_name/cert_chain.p7b
        pki_cert_chain_nickname=CA Signing Certificate
      • KRA の場合には、証明書ファイルへのパスを設定します。以下に例を示します。
        pki_storage_cert_path=/home/user_name/kra_storage.crt
        pki_transport_cert_path=/home/user_name/kra_transport.crt
        pki_subsystem_cert_path=/home/user_name/subsystem.crt
        pki_sslserver_cert_path=/home/user_namesslserver.crt
        pki_audit_signing_cert_path=/home/user_name/kra_audit_signing.crt
        pki_admin_cert_path=/home/user_name/kra_admin.crt
        指定したファイルに証明書チェーンを含む証明書が含まれていない場合は、署名証明書ファイルと証明書チェーンファイルへのパスと、そのニックネームを指定します。以下に例を示します。
        pki_ca_signing_nickname=CA Signing Certificate
        pki_ca_signing_cert_path=/home/user_name/ca_signing.crt
        pki_cert_chain_nickname=External Certificate Chain
        pki_cert_chain_path=/home/user_name/cert_chain.p7b
      • OCSP の場合には、証明書ファイルへのパスを設定します。以下に例を示します。
        pki_ocsp_signing_cert_path=/home/user_name/ocsp_signing.crt
        pki_subsystem_cert_path=/home/user_name/subsystem.crt
        pki_sslserver_cert_path=/home/user_name/sslserver.crt
        pki_audit_signing_cert_path=/home/user_name/ocsp_audit_signing.crt
        pki_admin_cert_path=/home/user_name/ocsp_admin.crt
        指定したファイルに証明書チェーンを含む証明書が含まれていない場合は、署名証明書ファイルと証明書チェーンファイルへのパスと、そのニックネームを指定します。以下に例を示します。
        pki_ca_signing_nickname=CA Signing Certificate
        pki_ca_signing_cert_path=/home/user_name/ca_signing.crt
        pki_cert_chain_nickname=External Certificate Chain
        pki_cert_chain_path=/home/user_name/cert_chain.p7b
  5. 必要に応じて、設定ファイルをカスタマイズします。例については、「インストール手順間の設定のカスタマイズ」 を参照してください。
  6. 設定手順を開始します。
    # pkispawn -f /root/config.txt -s subsystem
    subsystem を、インストールするサブシステム (CAKRA、または OCSP) に置き換えます。