13.3.2. Certificate System の Watchdog サービスの使用

Certificate System では、ウォッチドッグサービスを使用して、開始するためにセキュリティーデータベースにアクセスするためにパスワードを必要とするサービスを開始します。暗号化されていないパスワードをシステムに保存しないという要件がある場合、ウォッチドッグサービスは次のようになります。
  • サーバーの起動時に関連するパスワードを要求し、そのメッセージをキャッシュします。
  • クラッシュが原因でサーバーが自動的に再起動される場合に、キャッシュされたパスワードを使用します。

13.3.2.1. Watchdog サービスの有効化

ウォッチドッグサービスを有効にするには、以下を実行します。
  1. このホストで Shared Secret 機能を使用する場合は、「CMC 共有シークレット機能の有効化」 の説明に従って Shared Secret 機能を有効にします。
  2. /var/lib/pki/instance_name/conf/ ディレクトリーから server.xml バックアップおよび password.conf ファイルをバックアップします。以下に例を示します。
    # cp -p /var/lib/pki/instance_name/conf/server.xml /root/
    # cp -p /var/lib/pki/instance_name/conf/password.conf /root/
  3. Certificate System インスタンスのサービスを停止し、無効にします。
    # systemctl stop pki-tomcatd@instance_name.service
    # systemctl disable pki-tomcatd@instance_name.service
  4. Hardware Security Module (HSM) を使用する場合は、ウォッチドッグサービスを有効にして、ハードウェアトークンのパスワードを入力するようにします。
    1. ハードウェアトークンの名前を表示します。
      # egrep "^hardware-" /var/lib/pki/instance_name/conf/password.conf
      hardware-HSM_token_name=password
      上記の例で強調表示された文字列は、ハードウェアトークン名です。
    2. cms.tokenList パラメーターを /var/lib/pki/instance_name/conf/ca/CS.cfg ファイルに追加し、ハードウェアトークンの名前に設定します。以下に例を示します。
      cms.tokenList=HMS_token_name
  5. インスタンスのウォッチドッグ設定を有効にします。
    # pki-server instance-nuxwdog-enable instance_name
    または、すべてのインスタンスでウォッチドッグを有効にします。
    # pki-server nuxwdog-enable
    詳細は、pki-server-nuxwdog(8) の man ページを参照してください。
  6. デフォルトでは、nuxwdog は、/etc/sysconfig/pki-tomcat ファイルの TOMCAT_USER 変数に設定されたユーザーとしてサーバーを起動します。必要に応じて、ユーザーおよびグループを変更する場合は、次のコマンドを実行します。
    1. インスタンスのウォッチドッグ systemd ユニットファイルを /etc/systemd/system/ ディレクトリーにコピーします。
      # cp -p /usr/lib/systemd/system/instance_name-nuxwdog@.service /etc/systemd/system/
      注記
      /etc/systemd/system/ ディレクトリーのユニットファイルの優先度は高く、更新時に置き換えられません。
    2. /etc/pki/instance_name/nuxwdog.conf ファイルの [Service] セクションに、以下のエントリーを追加します。
      User new_user_name
    3. systemd 設定を再読み込みします。
      # systemctl daemon-reload
  7. ウォッチドッグを使用する Certificate System サービスを有効にします。
    # systemctl enable pki-tomcatd-nuxwdog@instance_name.service
  8. 必要に応じて、「Certificate System の Watchdog が有効になっていることの確認」 を参照してください。
  9. Certificate System インスタンスを起動するには、以下のコマンドを実行してプロンプトを入力します。
    # systemctl start pki-tomcatd-nuxwdog@instance_name.service