第23章 OpenSSL CA の Certificate System への移行

Red Hat Certificate System は、既存の OpenSSL Certificate Authority (CA) を、既存の CA 署名キーを使用する新しい Certificate System CA に移行するメカニズムを提供します。
注記
Certificate System 8 から 9 への移行は、この手順の特別な実装で、22章Certificate System 8 から 9 への移行 で説明されています。
環境に応じて、以下を参照してください。

23.1. HSM を使用しない場合の OpenSSL CA の Certificate System への移行

  1. 次のステップで使用するパスワードを含むファイルを作成します。以下に例を示します。
    # echo password > ~/password.txt
  2. openssl pkcs12 コマンドを使用して、OpenSSL CA 証明書とキーを PKCS #12 ファイルにインポートします。以下のオプションを使用します。
    • -export は、データをエクスポートするように openssl コマンドに指示します。
    • -in path_to_ca_certificate は、OpenSSL CA 証明書へのパスを設定します。
    • -inkey path_to_CA_signing_key は、OpenSSL CA 署名キーへのパスを設定します。
    • -out path_to_PKCS_#12_file は、出力が格納される PKCS #12 ファイルへのパスを設定します。
    • -name "friendly_name" は、証明書とキーにフレンドリー名を指定します。
    • -passout file: path_to_password_file は、PKCS #12 ファイルの暗号化に使用されるパスワードを含むテキストファイルへのパスを設定します。
    たとえば、OpenSSL CA 証明書とキーを ~/ca.p12 ファイルにエクスポートするには、次のようにします。
    # openssl pkcs12 -export -in ~/ca.crt -inkey ~/ca.key -out ~/ca.p12 \
         -name "CA Certificate" -passout file:~/password.txt
  3. Public Key Infrastructure (PKI) コマンドラインインターフェイス用に、パスワードで保護された Network Security Services (NSS) データベースを初期化します。以下に例を示します。
    # pki -c password client-init
  4. ~/password.txt ファイルのパスワードを使用して、~/ca.12 ファイルに保存されている CA 証明書のニックネームで CA 証明書CTu,Cu,Cu 信頼フラグを設定します。
    # pki pkcs12-cert-mod --pkcs12-file ~/ca.p12 "CA Certificate" \
         --pkcs12-password-file ~/password.txt --trust-flags "CTu,Cu,Cu"
    重要
    スペースなしで信頼フラグを入力します。
  5. ~/ca.p12 ファイルに保存されている CA 証明書を表示します。
    # pki pkcs12-cert-find --pkcs12-file ~/ca.p12 \
         --pkcs12-password-file ~/password.txt
    ---------------
    1 entries found
    --------------
      Certificate ID: 9311084d08b37d12e856b904b7e52eb3b1cece4a
      Serial Number: 0xe3f2b350edcd875c
      Nickname: CA Certificate
      Subject DN: O=Example,CN=CA Certificate
      Issuer DN: O=Example,CN=CA Certificate
      Trust Flags: CTu,Cu,Cu
      Has Key: true
  6. ~/ca.p12 ファイルに保存されている CA 署名キーを表示します。
    # pki pkcs12-key-find --pkcs12-file ~/ca.p12 \
         --pkcs12-password-file ~/password.txt
    ---------------
    1 entries found
    ---------------
      Key ID: 9311084d08b37d12e856b904b7e52eb3b1cece4a
      Subject DN: CA Certificate
      Algorithm: RSA
  7. 次のファイルを新しい Certificate System ホストにコピーします。
    • OpenSSL CA 署名証明書要求 (CSR)
    • OpenSSL CA 証明書チェーン (利用可能な場合)
    • OpenSSL CA 署名証明書と鍵を含む PKCS #12 ファイル
    • PKCS #12 ファイルを保護するために使用されるパスワードファイル
    たとえば、セキュアコピーを使用してファイルをコピーするには、次のようにします。
    # scp ~/ca.csr ~/certificate_chain.p7b ~/ca.p12 ~/password.txt new_server:~/
  8. 新しいホストで CA を設定します。詳細は、「新規ホストでの CA の設定」 を参照してください。
移行後、OpenSSL CA を非アクティブ化するか、オンライン証明書ステータスプロトコル (OCSP) 要求にのみ応答する読み取り専用モードで実行できます。