16.3.3.2. 1 つまたは複数の KRA から 1 つの KRA へのキーのラップとマージ

この手順では、1 つ以上の Certificate System KRA (たとえば、sourcekra.example.compki-tomcat) に保存されているキーを再ラップし、それを別の Certificate System KRA (たとえば targetkra.example.compki-tomcat-2) に保存します。これが唯一のユースケースではありません。このツールは、ソースとターゲットの両方と同じインスタンスで実行して既存のキーを再ラップすることも、キーをまったく再ラップせずに複数の KRA インスタンスから単一のインスタンスにキーをコピーするために使用することもできます。
重要
pki-tomcat-2 KRA のストレージキーのサイズとタイプは 2048 ビットおよび RSA に設定する必要があります。
  1. targetkra.example.com にログインします。
  2. pki-tomcat-2 KRA を停止します。
    [root@targetkra ~]# systemctl stop pki-tomcatd@pki-tomcat-2.service
  3. s ourcekra.example.com にある pki-tomcat KRA インスタンスからインポートされるキーデータを保存するデータディレクトリーを 作成し ます。
    [root@targetkra ~]# mkdir -p /export/pki
  4. pki-tomcat-2 KRA のパブリックストレージ証明書を、新規データディレクトリーのフラットファイルにエクスポートします。
    [root@targetkra ~]# certutil -L -d /var/lib/pki/pki-tomcat-2/alias -n "storageCert cert-pki-tomcat-2 KRA" -a > /export/pki/targetKRA.cert
  5. 同じマシンにある場合は、pki-tomcat-2 KRA の Directory Server インスタンスを停止します。
    [root@newkra ~]# systemctl stop dirsrv.target
  6. pki-tomcat-2 KRA の設定情報をエクスポートします。
    [root@targetkra ~]# grep nsslapd-localuser /etc/dirsrv/slapd-instanceName/dse.ldif
      nsslapd-localuser: dirsrv
    
      [root@targetkra ~]# chown dirsrv:dirsrv /export/pki
    
      [root@targetkra ~]# /usr/lib64/dirsrv/slapd-instanceName/db2ldif -n pki-tomcat-2-KRA -a /export/pki/pki-tomcat-2.ldif
    重要
    LDIF ファイルの最後に 1 行の空白行が含まれていることを確認してください。
  7. sourcekra.example.com にログインします。
  8. pki-tomcat KRA を停止します。
    [root@sourcekra ~]# systemctl stop pki-tomcatd@pki-tomcat.service
  9. targetkra.example.com にある pki-tomcat-2 KRA インスタンスにエクスポートされるキーデータを保存するデータディレクトリーを作成します。
    [root@sourcekra ~]# mkdir -p /export/pki
  10. 同じマシンにある場合は、pki-tomcat KRA の Directory Server インスタンスを停止します。
    [root@sourcekra ~]# systemctl stop dirsrv.target
  11. pki-tomcat KRA の設定情報をエクスポートします。
    [root@sourcekra ~]# grep nsslapd-localuser /etc/dirsrv/slapd-instanceName/dse.ldif
      nsslapd-localuser: dirsrv
    
      [root@sourcekra ~]# chown dirsrv:dirsrv /export/pki
    
      [root@sourcekra ~]# /usr/lib64/dirsrv/slapd-instanceName/db2ldif -n pki-tomcat-KRA -a /export/pki/pki-tomcat.ldif
    
    重要
    LDIF ファイルの最後に 1 行の空白行が含まれていることを確認してください。
  12. pki-tomcat KRA NSS セキュリティーデータベースをこのディレクトリーにコピーします。
    [root@sourcekra ~]# cp -p /var/lib/pki/pki-tomcat/alias/cert8.db /export/pki
    
      [root@sourcekra ~]# cp -p /var/lib/pki/pki-tomcat/alias/key3.db /export/pki
    
      [root@sourcekra ~]# cp -p /var/lib/pki/pki-tomcat/alias/secmod.db /export/pki
  13. パブリックストレージキーを持つファイルを pki-tomcat-2 KRA マシンからこのマシンにコピーします。以下に例を示します。
    [root@sourcekra ~]# cd /export/pki
    
      [root@sourcekra ~]# sftp root@targetkra.example.com
      sftp> cd /export/pki
      sftp> get targetKRA.cert
      sftp> quit
  14. 必要に応じて、ツールで使用するデフォルトの KRATool.cfg ファイルを編集します。デフォルトのファイルは、変更せずに使用することもできます。
  15. KRATool を実行します。これらのパラメーターはすべて 1 行にまとめる必要があります。
    [root@sourcekra ~]# KRATool -kratool_config_file "/usr/share/pki/java-tools/KRATool.cfg"
              -source_ldif_file /export/pki/pki-tomcat.ldif
              -target_ldif_file /export/pki/source2targetKRA.ldif
              -log_file /export/pki/kratool.log
              -source_pki_security_database_path /export/pki
              -source_storage_token_name 'Internal Key Storage Token'
              -source_storage_certificate_nickname 'storageCert cert-pki-tomcat KRA'
              -target_storage_certificate_file /export/pki/targetKRA.cert
              -append_id_offset 100000000000
              -source_kra_naming_context "pki-tomcat-KRA"
              -target_kra_naming_context "pki-tomcat-2-KRA"
              -process_requests_and_key_records_only
    注記
    コマンドは、pki-tomcat KRA NSS セキュリティーデータベースに保存されているトークンのパスワードの入力を求める場合があります。
    完了すると、このコマンドは、-target_ldif_file パラメーター source2targetKRA.ldif で指定されたファイルを作成します。
  16. この LDIF ファイルを pki-tomcat-2 KRA マシンにコピーします。以下に例を示します。
    [root@sourcekra ~]# scp /export/pki/source2targetKRA.ldif root@targetkra.example.com:/export/pki
    重要
    LDIF ファイルの最後に 1 行の空白行が含まれていることを確認してください。
  17. 複数の KRA インスタンスをマージしている場合、それらのデータは単一のインポート操作にマージできます。マージされるすべての KRA で同じ手順を実施します。
    重要
    -target_ldif_file パラメーターが LDIF ファイルを作成するように一意の値を指定し、LDIF ファイルが連結したときに競合が発生しないように一意の -append_id_offset 値を指定します。
  18. pki-tomcat-2 KRA マシンに、pki-tomcat-2 KRA 構成 LDIF ファイル、およびその他の KRA インスタンス用にエクスポートされたすべての LDIF ファイルを連結して、LDIF ファイルを他のキーデータとともにインポートします。以下に例を示します。
    [root@targetkra ~]# cd /export/pki
      [root@targetkra ~]# cat pki-tomcat-2.ldif source2targetKRA.ldif > combined.ldif
  19. pki-tomcat-2 KRA インスタンス用に、この組み合わせた LDIF ファイルを Directory Server データベースにインポートします。
    [root@targetkra ~]# /usr/lib64/dirsrv/slapd-instanceName/ldif2db -n pki-tomcat-2-KRA -i /export/pki/combined.ldif
  20. pki-tomcat-2 KRA の Directory Server インスタンスを起動します。
    [root@targetkra ~]# systemctl start dirsrv.target
  21. pki-tomcat-2 KRA を起動します。
    [root@targetkra ~]# systemctl start pki-tomcatd@pki-tomcat-2.service