第23章 OpenSSL CA の証明書システムへの移行

Red Hat Certificate System は、既存の OpenSSL 認証局(CA)を、既存の CA 署名鍵を使用する新しい認証局(CA)に移行するメカニズムを提供します。
注記
Certificate System 8 から 9 への移行は、この手順の特別な実装で、で説明し 22章Certificate System 8 から 9 への移行 ます。
環境に応じて、以下を参照してください。

23.1. HSM を使用しない場合に OpenSSL CA を証明書システムに移行

  1. 次のステップで使用するパスワードでファイルを作成します。以下に例を示します。
    # echo password > ~/password.txt
  2. openssl pkcs12 コマンドを使用して、OpenSSL CA 証明書とキーを PKCS #12 ファイルにインポートします。以下のオプションを使用してください。
    • -export openssl コマンドでデータをエクスポートするように指示します。
    • -in path_to_ca_certificate OpenSSL CA 証明書へのパスを設定します。
    • -inkey path_to_CA_signing_key OpenSSL CA 署名キーへのパスを設定します。
    • -out path_to_PKCS_#12_file 出力を保存する PKCS #12 ファイルへのパスを設定します。
    • -name "friendly_name" 証明書およびキーの平易な名前を設定します。
    • -passout file:path_to_password_file PKCS #12 ファイルの暗号化に使用されるパスワードが含まれるテキストファイルへのパスを設定します。
    たとえば、OpenSSL CA 証明書および鍵を ~/ca.p12 ファイルにエクスポートするには、以下のコマンドを実行します。
    # openssl pkcs12 -export -in ~/ca.crt -inkey ~/ca.key -out ~/ca.p12 \
         -name "CA Certificate" -passout file:~/password.txt
  3. 公開鍵インフラストラクチャー(PKI)コマンドラインインターフェース用のパスワードで保護されたネットワークセキュリティーサービス(NSS)データベースを初期化します。以下に例を示します。
    # pki -c password client-init
  4. ~/password.txt ファイルのパスワードを使用して、~/ca.12 ファイルに保存されている CA Certificate nick 名を使用して CA 証明書の CTu,Cu,Cu 信頼フラグを設定します。
    # pki pkcs12-cert-mod --pkcs12-file ~/ca.p12 "CA Certificate" \
         --pkcs12-password-file ~/password.txt --trust-flags "CTu,Cu,Cu"
    重要
    スペースなしで信頼フラグを入力します。
  5. ~/ca.p12 ファイルに保存されている CA 証明書を表示します。
    # pki pkcs12-cert-find --pkcs12-file ~/ca.p12 \
         --pkcs12-password-file ~/password.txt
    ---------------
    1 entries found
    --------------
      Certificate ID: 9311084d08b37d12e856b904b7e52eb3b1cece4a
      Serial Number: 0xe3f2b350edcd875c
      Nickname: CA Certificate
      Subject DN: O=Example,CN=CA Certificate
      Issuer DN: O=Example,CN=CA Certificate
      Trust Flags: CTu,Cu,Cu
      Has Key: true
  6. ~/ca.p12 ファイルに保存されている CA 署名キーを表示します。
    # pki pkcs12-key-find --pkcs12-file ~/ca.p12 \
         --pkcs12-password-file ~/password.txt
    ---------------
    1 entries found
    ---------------
      Key ID: 9311084d08b37d12e856b904b7e52eb3b1cece4a
      Subject DN: CA Certificate
      Algorithm: RSA
  7. 以下のファイルを新しい証明書システムホストにコピーします。
    • OpenSSL CA 署名証明書要求(CSR)
    • OpenSSL CA 証明書チェーン(利用可能な場合)
    • OpenSSL CA 署名証明書および鍵を含む PKCS #12 ファイル
    • PKCS #12 ファイルの保護に使用するパスワードファイル
    たとえば、セキュアなコピーを使用してファイルをコピーするには、次のコマンドを実行します。
    # scp ~/ca.csr ~/certificate_chain.p7b ~/ca.p12 ~/password.txt new_server:~/
  8. 新規ホストで CA を設定します。詳細はを参照してください 「新規ホストでの CA の設定」
移行後、OpenSSL CA を無効にするか、読み取り専用モードで実行できます。この場合、Online Certificate Status Protocol(OCSP)リクエストにのみ応答します。