Menu Close
Settings Close

Language and Page Formatting Options

第23章 OpenSSL CA の証明書システムへの移行

Red Hat Certificate System は、既存の OpenSSL 認証局(CA)を既存の CA 署名鍵を使用する新しい Certificate System CA に移行するメカニズムを提供します。
注記
Certificate System 8 から 9 への移行は、この手順の特別な実装で、22章Certificate System 8 から 9 への移行 で説明されています。
環境に応じて、以下を参照してください。

23.1. HSM を使用していない場合の OpenSSL CA の証明書システムへの移行

  1. 次の手順で使用するパスワードでファイルを作成します。以下に例を示します。
    # echo password > ~/password.txt
  2. openssl pkcs12 コマンドを使用して、OpenSSL CA 証明書およびキーを PKCS #12 ファイルにインポートします。以下のオプションを使用します。
    • -export は、データをエクスポートするように openssl コマンドに指示します。
    • -in path_to_ca_certificate は、OpenSSL CA 証明書へのパスを設定します。
    • -inkey path_to_CA_signing_key は OpenSSL CA 署名鍵へのパスを設定します。
    • -out path_to_PKCS_#12_file は、出力が保存される PKCS #12 ファイルへのパスを設定します。
    • -name "friendly_name" は、証明書およびキーの分かりやすい名前を設定します。
    • -passout file:path_to_password_file は、PKCS #12 ファイルの暗号化に使用するパスワードが含まれるテキストファイルへのパスを設定します。
    たとえば、OpenSSL CA 証明書とキーを ~/ca.p12 ファイルにエクスポートするには、次のコマンドを実行します。
    # openssl pkcs12 -export -in ~/ca.crt -inkey ~/ca.key -out ~/ca.p12 \
         -name "CA Certificate" -passout file:~/password.txt
  3. 公開鍵インフラストラクチャー(PKI)コマンドラインインターフェース用に、パスワードで保護された Network Security Services(NSS)データベースを初期化します。以下に例を示します。
    # pki -c password client-init
  4. ~/password.txt ファイルのパスワードを使用して、~/ca.12 ファイルに保存されている CA Certificate nick の名前で、CA 証明書の CTu,Cu,Cu trust フラグを設定します。
    # pki pkcs12-cert-mod --pkcs12-file ~/ca.p12 "CA Certificate" \
         --pkcs12-password-file ~/password.txt --trust-flags "CTu,Cu,Cu"
    重要
    空白なしで信頼フラグを入力します。
  5. ~/ca.p12 ファイルに保存されている CA 証明書を表示します。
    # pki pkcs12-cert-find --pkcs12-file ~/ca.p12 \
         --pkcs12-password-file ~/password.txt
    ---------------
    1 entries found
    --------------
      Certificate ID: 9311084d08b37d12e856b904b7e52eb3b1cece4a
      Serial Number: 0xe3f2b350edcd875c
      Nickname: CA Certificate
      Subject DN: O=Example,CN=CA Certificate
      Issuer DN: O=Example,CN=CA Certificate
      Trust Flags: CTu,Cu,Cu
      Has Key: true
  6. ~/ca.p12 ファイルに保存されている CA 署名鍵を表示します。
    # pki pkcs12-key-find --pkcs12-file ~/ca.p12 \
         --pkcs12-password-file ~/password.txt
    ---------------
    1 entries found
    ---------------
      Key ID: 9311084d08b37d12e856b904b7e52eb3b1cece4a
      Subject DN: CA Certificate
      Algorithm: RSA
  7. 以下のファイルを新しい Certificate System ホストにコピーします。
    • OpenSSL CA 署名証明書要求(CSR)
    • OpenSSL CA 証明書チェーン(利用可能な場合)
    • OpenSSL CA 署名証明書および鍵が含まれる PKCS #12 ファイル
    • PKCS #12 ファイルの保護に使用するパスワードファイル
    たとえば、セキュアなコピーを使用してファイルをコピーするには、次のコマンドを実行します。
    # scp ~/ca.csr ~/certificate_chain.p7b ~/ca.p12 ~/password.txt new_server:~/
  8. 新規ホストに CA を設定します。詳細は、「新規ホストでの CA の設定」 を参照してください。
移行後に、OpenSSL CA を無効にするか、読み取り専用モードで実行できます。この場合、Online Certificate Status Protocol(OCSP)要求にのみ応答します。