16.3. エージェント承認キーリカバリースキームの設定

キーリカバリーエージェントは、PKCS #12 パッケージ内の秘密暗号化キーと関連する証明書をまとめて承認および取得します。キーリカバリーを承認するには、必要な数のリカバリーエージェントが KRA エージェントサービスページにアクセスし、Authorize Recovery 領域を使用して各承認を個別に入力します。
エージェントの 1 つが、キーリカバリープロセスを開始します。同期リカバリーの場合、各承認エージェントは、(最初のリクエストで返された) 参照番号を使用して要求をオープンにし、その後、個別に鍵のリカバリーを承認します。非同期リカバリーの場合、承認エージェントはすべてキーリカバリー要求を検索してから、キーリカバリーを承認します。すべての承認が指定されている場合に、KRA は情報を確認します。提示された情報が正しい場合は、要求されたキーを取得し、PKCS #12 パッケージの形式で、キーリカバリープロセスを開始したエージェントに、対応する証明書を返します。
キーリカバリーエージェントスキーム は、キーリカバリーエージェントが属するグループを認識するように KRA を設定し、アーカイブされた鍵を復元する前にキーリカバリー要求を承認するために必要なこれらのエージェントの数を指定します。

16.3.1. コマンドラインでのエージェント承認キーリカバリーの設定

エージェントが開始するキーリカバリーを設定するには、KRA 設定で 2 つのパラメータを編集します。
  • リカバリーの承認に必要なリカバリーマネージャーの数を設定します。
  • これらのユーザーが属する必要のあるグループを設定します。
これらのパラメーターは、KRA の CS.cfg 設定ファイルで設定されます。
  1. 設定ファイルを編集する前にサーバーを停止します。
    systemctl stop pki-tomcatd@instance_name.service
    または
    systemctl stop pki-tomcatd-nuxwdog@instance_name.service (if using nuxwdog watchdog)
  2. KRA の CS.cfg ファイルを開きます。
    vim /var/lib/pki/pki-tomcat/kra/conf/CS.cfg
  3. 2 つのリカバリースキームパラメーターを編集します。
    kra.noOfRequiredRecoveryAgents=3
    kra.recoveryAgentGroup=Key Recovery Authority Agents
  4. サービスを再起動します。
    systemctl start pki-tomcatd@instance_name.service
    または
    systemctl start pki-tomcatd-nuxwdog@instance_name.service
注記
コンソールでエージェント承認鍵リカバリーを設定する方法は、『 『Red Hat Certificate System Administration Guide』の「 Configuring Agent-Approved Key Recovery」を参照 してください』。