第5章 Red Hat 証明書システム 9.3
このセクションでは、Red Hat Certificate System 9.3 の変更点について説明します。
5.1. サポート対象のプラットフォーム
このセクションでは、Red Hat Certificate System 9.3 でサポートされるさまざまなサーバープラットフォーム、ハードウェア、トークン、およびソフトウェアについて説明します。
5.1.1. サーバーサポート
Certificate System 9.3 の認証局 (CA)、キー回復局 (KRA)、オンライン証明書ステータスプロトコル (OCSP)、トークンキーサービス (TKS)、およびトークン処理システム (TPS) サブシステムの実行は、Red Hat Enterprise Linux 7.5 でサポートされています。以降。サポートされている Directory Server のバージョンは 10.2 以降です。
注記
Certificate System 9.3 は、認定されたハイパーバイザー上の Red Hat Enterprise Linux 仮想ゲストでの実行がサポートされています。詳細は、ナレッジベースの記事Red Hat Enterprise Linux の実行が認定されているハイパーバイザーを参照してください。
5.1.2. クライアントサポート
Enterprise Security Client (ESC) は以下でサポートされます。
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 5 および 6 の最新版これらのプラットフォームは Red Hat Certificate System 9.3 をサポートしていませんが、これらのクライアントは Red Hat Certificate System 9.3 のトークン管理システム (TMS) システムで使用できます。
5.1.3. サポート対象の Web ブラウザー
Certificate System 9.3 は次のブラウザーをサポートしています。
表5.1 プラットフォームでサポートされる Web ブラウザー
| プラットフォーム | エージェントサービス | エンドユーザーページ |
|---|---|---|
| Red Hat Enterprise Linux | Firefox 52 以降 [a] | Firefox 52 以降 [a] |
| Windows 7 | Firefox 52 以降 [a] |
Firefox 52 以降
Internet Explorer 10 [b]
|
[a]
この Firefox バージョンは、ブラウザーからキーの生成およびアーカイブに使用される 暗号化 Web オブジェクトに対応しなくなりました。そのため、この分野では機能が限定されるはずです。
[b]
現在、Internet Explorer 11 では、Red Hat Certificate System 9.4 ではサポートされていません。この Web ブラウザーの登録コードは、Internet Explorer 11 で非推奨となった Visual Basic スクリプトにより異なります。
| ||
注記
HTML ベースのインスタンス設定に完全に対応するブラウザーは Mozilla Firefox のみです。
5.1.4. 対応するスマートカード
Enterprise Security Client (ESC) は、Global Platform 2.01 準拠のスマートカードおよび JavaCard 2.1 以降をサポートします。
Certificate System サブシステムは、以下のトークンを使用してテスト済みです。
- Gemalto TOP IM FIPS CY2 64K トークン (SCP01)
- Giesecke & Devrient (G&D) SmartCafe Expert 6.0 (SCP03)
- SafeNet Assured Technologies SC-650 (SCP01)
Certificate System でサポートされている唯一のカードマネージャーアプレットは、Red Hat Certificate System の pki-tps パッケージに含まれる CoolKey アプレットです。
5.1.5. サポート対象のハードウェアセキュリティーモジュール
以下の表は、Red Hat Certificate System がサポートする Hardware Security Modules (HSM) を示しています。
| HSM | ファームウェア | アプライアンスソフトウェア | クライアントソフトウェア |
|---|---|---|---|
| タレス nCipher nShield コネクト 6000 | 2.61.2 | CipherTools-linux64-dev-12.30.00 | CipherTools-linux64-dev-12.30.00 |
|
Gemalto SafeNet Luna SA 1700 / 7000 (制限)
(サポートは限定的です [a] を参照してください)。
| 6.24.0 | 6.2.0-15 | libcryptoki-6.2.x86_64 |
[a]
サポートされている機能の詳細については、を参照してください。「Gemalto SafeNet Luna SA 1700 / 7000 (制限)」。
| |||
5.1.5.1. Gemalto SafeNet Luna SA 1700 / 7000 (制限)
本セクションでは、Gemalto SafeNet Luna SA 1700 / 7000 HSM を使用する場合にサポートされる機能を説明します。
Gemalto SafeNet Luna SA は、CKE - Key Export モデルでの PKI 秘密鍵抽出のみおよび 非 FIPS モードでのみサポートされます。FIPS モードの Luna SA Cloning モデルおよび CKE モデルは、PKI 秘密鍵の抽出をサポートしません。Luna SA CKE – キーエクスポートモデルが FIPS モードの場合、PKI 秘密キーを抽出できません。
- CL - クローンモデル
- 対称キーおよびオブジェクトのクローン: 他の Luna SAs/G5 または Luna バックアップ HSM が可能
- 非対称 (プライベート) キーおよびオブジェクトのクローン作成: 他の Luna SAs/G5 または Luna バックアップ HSM が可能
- 対称キーおよびオブジェクトのレプリケーション: HA グループに設定されている場合に対称キーおよびオブジェクトをすべてレプリケート
- 非対称キーおよびオブジェクトのレプリケーション: HA グループに設定されている場合に非対称キーおよびオブジェクトをすべてレプリケート
- HSM からプライベート (非対称) キーをラップ: 実行できません。
図5.1 クローンモデルの例
- CKE - Key Export モデル
- 対称キーおよびオブジェクトのクローン: 他の Luna SAs/G5 または Luna バックアップ HSM が可能
- 非対称 (プライベート) キーおよびオブジェクトのクローン: 不可能
- 対称キーおよびオブジェクトのレプリケーション: HA グループに設定されている場合に対称キーおよびオブジェクトをすべてレプリケート
- 非対称キーおよびオブジェクトのレプリケーション: 不可能
- HSM からプライベート (非対称) キーをラップ: 可能
図5.2 キーエクスポートモデルの例
