13.2.3.10. 異なる証明書を使用するように CA を設定して CRL を署名
Certificate Manager は、証明書および証明書失効リスト (CRL) の署名に OCSP 署名証明書に対応するキーペアを使用します。別のキーペアを使用して Certificate Manager が生成する CRL に署名するには、CRL 署名証明書を作成できます。Certificate Manager の CRL 署名証明書は、署名するか、または自己発行する必要があります。
Certificate Manager が異なるキーペアで CRL に署名できるようにするには、以下を行います。
- Certificate Manager の CRL 署名証明書を要求します。または、次のようなキーペアを生成できるツールを使用します。たとえば、certutil ツールを使用してキーペアを生成し、キーペアの証明書を要求し、Certificate Manager の証明書データベースに証明書をインストールします。certutil ツールの詳細は http://www.mozilla.org/projects/security/pki/nss/tools/ を参照してください。
- 証明書要求を作成したら、Certificate Manager エンドページを介して証明書を送信し、Manual OCSP Manager Signing Certificate registration プロファイルなどの適切なプロファイルを選択します。このページには、次の形式の URL が含まれます。
https://hostname:port/ca/ee/ca
- 要求が送信されたら、エージェントサービスページにログインします。
- 必要な拡張機能について要求を確認します。CRL 署名証明書には、crlSigning ビットセットに Key Usage 拡張が含まれている必要があります。
- 要求を承認します。
- CRL 署名証明書が生成されたら、コンソールの システムキーおよび証明書 を使用して、Certificate Manager のデータベースに証明書をインストールします。
- Certificate Manager を停止します。
]# systemctl stop pki-tomcatd@instance_name.service
- Certificate Manager の設定を更新して、新しいキーペアと証明書を認識します。
- Certificate Manager インスタンス設定ディレクトリーに移動します。
]# cd
/var/lib/pki/instance-name/ca/conf/ CS.cfgファイルを開き、以下の行を追加します。ca.crl_signing.cacertnickname=nickname cert-instance_ID ca.crl_signing.defaultSigningAlgorithm=signing_algorithm ca.crl_signing.tokenname=token_name
ニックネーム は、CRL 署名証明書に割り当てられた名前です。instance_ID は、Certificate Manager インスタンスの名前です。インストールされた CA が RSA ベースの CA の場合には、signing_algorithm は SHA256withRSA、SHA384withRSAまたは SHA512withRSA になります。インストールされた CA が EC ベースの CA の場合には、signing_algorithm は SHA256withEC、SHA384withEC、SHA512withEC になります。token_name は、キーペアの生成に使用されるトークンの名前と証明書です。内部/ソフトウェアトークンが使用されている場合は、内部キーストレージトークン を値として使用します。たとえば、エントリーは以下のようになります。ca.crl_signing.cacertnickname=crlSigningCert cert-pki-ca ca.crl_signing.defaultSigningAlgorithm=SHAMD512withRSA ca.crl_signing.tokenname=Internal Key Storage Token
- 変更を保存して、ファイルを閉じます。
- Certificate Manager を再起動します。
]# systemctl restart pki-tomcatd@instance_name.service
これで、Certificate Manager は CRL 署名証明書を使用して、生成した CRL に署名できるようになりました。