Show Table of Contents
26.2. 証明書の更新
以下の内容に関する説明は、ガイドを参照してください。
- 証明書の自動更新は「証明書の自動更新」を参照してください。
- 証明書の手動更新は「手動での CA 証明書の更新」を参照してください。
26.2.1. 証明書の自動更新
certmonger サービスは、期限が切れる 28 日前に、以下の証明書を自動的に更新します。
- ルート CA として IdM CA が発行した CA 証明書
- 内部 IdM サービスが使用する統合 IdM CA により発行されたサブシステムおよびサーバー証明書
サブ CA の CA 証明書を自動的に更新するには、
certmonger のトラッキング一覧に追加されている必要があります。トラッキング一覧を更新するには、以下を実行します。
[root@ipaserver ~]# ipa-certupdate trying https://idmserver.idm.example.com/ipa/json Forwarding 'schema' to json server 'https://idmserver.idm.example.com/ipa/json' trying https://idmserver.idm.example.com/ipa/json Forwarding 'ca_is_enabled' to json server 'https://idmserver.idm.example.com/ipa/json' Forwarding 'ca_find/1' to json server 'https://idmserver.idm.example.com/ipa/json' Systemwide CA database updated. Systemwide CA database updated. The ipa-certupdate command was successful
注記
外部 CA をルート CA として使用する場合は、「手動での CA 証明書の更新」の説明のように、手動で証明書を更新する必要があります。
certmonger サービスは、外部 CA が署名した証明書を自動的に更新できません。
自動更新が予想どおりに機能していることを確認するには、
/var/log/messages ファイルで certmonger のログメッセージを検証します。
- 証明書が更新されたら、
certmongerには更新操作の成功または失敗を示す、以下のようなメッセージが記録されます。Certificate named "NSS Certificate DB" in token "auditSigningCert cert-pki-ca" in database "/var/lib/pki-ca/alias" renew success - 証明書の有効期限が近づくと
certmongerは以下のメッセージをログに記録します。certmonger: Certificate named "NSS Certificate DB" in token "auditSigningCert cert-pki-ca" in database "/var/lib/pki-ca/alias" will not be valid after 20160204065136.
26.2.2. 手動での CA 証明書の更新
手作業で更新を行う場合は
ipa-cacert-manage を使用することができます。
- 自己署名の IdM CA 証明書
- 外部署名の IdM CA 証明書
ipa-cacert-manage renew コマンドで更新された証明書は、以前の証明書と同じキーペアおよびサブジェクト名を使用します。証明書を更新しても、証明書のロールオーバーができるように、以前のバージョンは削除されません。
詳細は、ipa-cacert-manage(1) の man ページを参照してください。
26.2.2.1. 自己署名の IdM CA 証明書の手動更新
ipa-cacert-manage renewコマンドを実行します。証明書へのパスの指定は求められません。- 更新済み証明書が LDAP 証明書ストアと
/etc/pki/pki-tomcat/aliasNSS データベースに現れます。 - 全サーバーおよびクライアントで
ipa-certupdateユーティリティーを実行して、LDAP からの新規証明書に関する情報でクライアントを更新します。全サーバーおよびクライアントで個別にipa-certupdateを実行する必要があります。重要
証明書を手動でインストールした後にipa-certupdateを必ず実行します。実行しない場合には、証明書が他のマシンに配信されません。
更新した証明書が正しくインストールされていることを確認するには、
certutil ユーティリティーを使用して、データベース内の証明書を表示します。以下に例を示します。
# certutil -L -d /etc/pki/pki-tomcat/alias
26.2.2.2. 外部署名の IdM CA 証明書の手動更新
ipa-cacert-manage renew --external-caコマンドを実行します。- このコマンドでは
/var/lib/ipa/ca.crtCSR ファイルを作成します。CSR を外部 CA に送信して、更新した CA 証明書を発行します。 - もう一度
ipa-cacert-manage renewを実行し、今度は更新した認証局証明書と外部認証局の証明書チェーンファイルを--external-cert-fileオプションを使って指定します。以下に例を示します。# ipa-cacert-manage renew --external-cert-file=/tmp/servercert20110601.pem --external-cert-file=/tmp/cacert.pem
- これで更新した認証局証明書と外部認証局のチェーンが LDAP 証明書ストア内と
/etc/pki/pki-tomcat/alias/NSS データベースに表示されるようになります。 - 全サーバーおよびクライアントで
ipa-certupdateユーティリティーを実行して、LDAP からの新規証明書に関する情報でクライアントを更新します。全サーバーおよびクライアントで個別にipa-certupdateを実行する必要があります。重要
証明書を手動でインストールした後にipa-certupdateを必ず実行します。実行しない場合には、証明書が他のマシンに配信されません。
更新した証明書が正しくインストールされていることを確認するには、
certutil ユーティリティーを使用して、データベース内の証明書を表示します。以下に例を示します。
# certutil -L -d /etc/pki/pki-tomcat/alias/
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.