7.9. スタンドアロン KRA または OCSP の設定

本セクションでは、スタンドアロンの KRA および OCSP をインストールする方法を説明します。スタンドアロンインストールでは、非証明書システム CA を使用して証明書を発行する柔軟性が提供されます。これは、インストール中に生成された CSR が CA に自動的に送信され、サブシステムにインポートされないためです。また、スタンドアロンモードにインストールされた KRA または OCSP は CA のセキュリティードメインの一部ではなく、キーのアーカイブ CA のコネクターは設定されません。
スタンドアロン KRA または OCSP をインストールするには、以下を行います。
  1. 以下の内容で /root/config.txt などの設定ファイルを作成します。
    [DEFAULT]
    pki_admin_password=password
    pki_client_database_password=password
    pki_client_pkcs12_password=password
    pki_ds_password=password
    pki_token_password=password
    pki_client_database_purge=False
    pki_security_domain_name=EXAMPLE
    
    pki_standalone=True
    pki_external_step_two=False
  2. スタンドアロンの KRA の場合は、設定ファイルに以下のセクションを追加します。
    [KRA]
    pki_admin_email=kraadmin@example.com
    pki_ds_base_dn=dc=kra,dc=example,dc=com
    pki_ds_database=kra
    
    pki_admin_nickname=kraadmin
    pki_audit_signing_nickname=kra_audit_signing
    pki_sslserver_nickname=sslserver
    pki_storage_nickname=kra_storage
    pki_subsystem_nickname=subsystem
    pki_transport_nickname=kra_transport
    
    pki_standalone=True
  3. スタンドアロン OCSP の場合は、設定ファイルに以下のセクションを追加します。
    [OCSP]
    pki_admin_email=ocspadmin@example.com
    pki_ds_base_dn=dc=ocsp,dc=example,dc=com
    pki_ds_database=ocsp
    
    pki_admin_nickname=ocspadmin
    pki_audit_signing_nickname=ocsp_audit_signing
    pki_ocsp_signing_nickname=ocsp_signing
    pki_sslserver_nickname=sslserver
    pki_subsystem_nickname=subsystem
    
    pki_standalone=True
  4. 同じホストで実行している Directory Server への LDAPS 接続を使用するには、設定ファイルの DEFAULT セクションに以下のパラメーターを追加します。
    pki_ds_secure_connection=True
    pki_ds_secure_connection_ca_pem_file=path_to_CA_or_self-signed_certificate
    注記
    セキュリティー上の理由から、Red Hat は、Directory Server への暗号化された接続を使用することを推奨します。
    Directory Server で自己署名証明書を使用する場合は、以下のコマンドを使用して Directory Server の Network Security Services (NSS) データベースからエクスポートします。
    # certutil -L -d /etc/dirsrv/slapd-instance_name/ \
         -n "server-cert" -a -o /root/ds.crt