13.2.3.10. 異なる証明書を使用するように CA を設定して CRL を署名

Certificate Manager は、証明書および証明書失効リスト (CRL) の署名に OCSP 署名証明書に対応するキーペアを使用します。別のキーペアを使用して Certificate Manager が生成する CRL に署名するには、CRL 署名証明書を作成できます。Certificate Manager の CRL 署名証明書は、署名するか、または自己発行する必要があります。
Certificate Manager が異なるキーペアで CRL に署名できるようにするには、以下を行います。
  1. Certificate Manager の CRL 署名証明書を要求します。
    または、次のようなキーペアを生成できるツールを使用します。たとえば、certutil ツールを使用してキーペアを生成し、キーペアの証明書を要求し、Certificate Manager の証明書データベースに証明書をインストールします。certutil ツールの詳細は、http://www.mozilla.org/projects/security/pki/nss/tools/ を参照してください。
  2. 証明書要求を作成したら、Certificate Manager エンドページを介して証明書を送信し、「Manual OCSP Manager Signing Certificate registration」プロファイルなどの適切なプロファイルを選択します。このページには、次の形式の URL が含まれます。
    		https://hostname:port/ca/ee/ca
    
  3. 要求が送信されたら、エージェントサービスページにログインします。
  4. 必要な拡張機能について要求を確認します。CRL 署名証明書には、crlSigning ビットセットを含む Key Usage 拡張が含まれている必要があります。
  5. 要求を承認します。
  6. CRL 署名証明書が生成されたら、コンソールの システムキーおよび証明書 を使用して、Certificate Manager のデータベースに証明書をインストールします。
  7. Certificate Manager を停止します。
    ]# systemctl stop pki-tomcatd@instance_name.service
  8. Certificate Manager の設定を更新して、新しいキーペアと証明書を認識します。
    1. Certificate Manager インスタンス設定ディレクトリーに移動します。
      ]# cd /var/lib/pki/instance-name/ca/conf/
    2. CS.cfg ファイルを開き、以下の行を追加します。
      ca.crl_signing.cacertnickname=nickname cert-instance_ID
      ca.crl_signing.defaultSigningAlgorithm=signing_algorithm
      ca.crl_signing.tokenname=token_name
      ニックネーム は、CRL 署名証明書に割り当てられた名前です。
      instance_ID は、Certificate Manager インスタンスの名前です。
      インストールされた CA が RSA ベースの CA の場合、signing_algorithm は、SHA256withRSASHA384withRSA、または SHA512withRSA にすることができます。インストールされている CA が EC ベースの CA の場合、signing_algorithmSHA256withECSHA384withEC、および SHA512withEC にすることができます。
      token_name は、キーペアの生成に使用されるトークンの名前と証明書です。内部/ソフトウェアトークンが使用される場合は、Internal Key Storage Token を値として使用します。
      たとえば、エントリーは以下のようになります。
      ca.crl_signing.cacertnickname=crlSigningCert cert-pki-ca
      ca.crl_signing.defaultSigningAlgorithm=SHAMD512withRSA
      ca.crl_signing.tokenname=Internal Key Storage Token
    3. 変更を保存して、ファイルを閉じます。
  9. Certificate Manager を再起動します。
    ]# systemctl restart pki-tomcatd@instance_name.service
    これで、Certificate Manager は CRL 署名証明書を使用して、生成した CRL に署名できるようになりました。