Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

24.4. 証明書プロファイル

証明書プロファイルは、特定のプロファイルに属する証明書の内容、証明書の登録方法、登録および出力フォームを発行するための制約を定義します。特定のタイプの証明書を発行するのに、証明書プロファイルを 1 つ関連付けます。IdM のユーザー、サービス、およびホストには、さまざまな証明書プロファイルを定義できます。
CA は、証明書の署名に証明書プロファイルを使用して、以下を判別します。
  • CA が証明書署名リクエスト (CSR) を受け付けられるかどうか。
  • 証明書に存在する機能および拡張機能
IdM には、デフォルトで、caIPAserviceCert およびIECUserRoles が、以下の 2 つの証明書プロファイルが含まれています。さらに、カスタムプロファイルをインポートできます。
カスタム証明書プロファイルを使用すると、特定の、関連目的で証明書を発行することができます。たとえば、特定のプロファイルの使用を 1 つのユーザーまたはグループに制限し、他のユーザーやグループがそのプロファイルを使用して証明書を認証用に発行できないように制限することができます。
サポートされる証明書プロファイルの設定に関する詳細は、『Red Hat Certificate System 『Administration Guide』の「Defaults Reference and Constraints Reference 」を参照してください』。
注記
証明書プロファイルと CA ACL 「認証局 ACL ルール」、管理者はカスタム証明書プロファイルへのアクセスを定義し、制御できます。プロファイルおよび CA ACL 「証明書プロファイルおよび ACL を使用した IdM CA を使用したユーザー証明書発行」

24.4.1. 証明書プロファイルの作成

証明書プロファイルの作成方法は、Red Hat Certificate System 9 Administration Guide』 の以下のドキュメントを参照してください。

24.4.2. コマンドラインでの証明書プロファイル管理

IdM プロファイルを管理する certprofile プラグインにより、特権ユーザーは IdM 証明書プロファイルをインポート、変更、または削除できます。プラグインがサポートするコマンドをすべて表示するには、ipa certprofile コマンドを実行します
$ ipa certprofile
Manage Certificate Profiles

...

EXAMPLES:

  Import a profile that will not store issued certificates:
    ipa certprofile-import ShortLivedUserCert \
      --file UserCert.profile --desc "User Certificates" \
      --store=false

  Delete a certificate profile:
    ipa certprofile-del ShortLivedUserCert
...
certprofile 操作を実行するには、必要なパーミッションを持つユーザーとして操作する必要があることに注意してください。IdM には、デフォルトで以下の証明書プロファイル関連のパーミッションが含まれています。
システム: 証明書プロファイルの読み取り
ユーザーが全プロファイル属性を読み込むことを許可します。
System: Import Certificate Profile
ユーザーが証明書プロファイルを IdM にインポートすることを許可します。
System: Delete Certificate Profile
ユーザーが既存の証明書プロファイルを削除することを許可します。
System: Modify Certificate Profile
ユーザーが profile 属性を変更し、プロファイルを無効化または有効化できるようにします。
これらのパーミッションはすべて、デフォルトの CA 管理者特権に含まれます。IdM 「ロールベースのアクセス制御の定義」
注記
証明書を要求する場合、--profile-id オプションを ipa cert-request コマンドに追加して、使用するプロファイルを指定できます。プロファイル ID が指定されていない場合は、defaultcaIPAserviceCert プロファイルが証明書に使用されます。
このセクションでは、プロファイル管理に ipa certprofile コマンドを使用する最も重要な側面のみを説明します。コマンドの詳細は、以下のように --help オプションを指定して実行します。
$ ipa certprofile-mod --help
Usage: ipa [global-options] certprofile-mod ID [options]

Modify Certificate Profile configuration.
Options:
  -h, --help     show this help message and exit
  --desc=STR     Brief description of this profile
  --store=BOOL   Whether to store certs issued using this profile
...

証明書プロファイルのインポート

新しい証明書プロファイルを IdM にインポートするには、ipa certprofile-import コマンドを使用します。オプションを指定せずにコマンドを実行すると、certprofile-import スクリプトで証明書のインポートに必要な情報の入力が求められます。
$ ipa certprofile-import

Profile ID: smime
Profile description: S/MIME certificates
Store issued certificates [True]: TRUE
Filename of a raw profile. The XML format is not supported.: smime.cfg
------------------------
Imported profile "smime"
------------------------
  Profile ID: smime
  Profile description: S/MIME certificates
  Store issued certificates: TRUE
ipa certprofile-import コマンドは、複数のコマンドラインオプションを受け入れます。以下に例を示します。
--file
このオプションは、プロファイル設定を含むファイルを ipa certprofile-import に直接渡します。以下に例を示します。
$ ipa certprofile-import --file=smime.cfg
--store
このオプションは、ストアに発行した証明書属性を設定します。以下の 2 つの値を受け入れます。
  • true: 発行した証明書をクライアントに配信し、ターゲットの IdM プリンシパルの userCertificate 属性に保存します。
  • false: 発行した証明書をクライアントに提供しますが、IdM に保存されません。このオプションは、短期的な複数の証明書を発行する場合に最も一般的に使用されます。
ipa certprofile-import で指定されたプロファイル ID が既に使用されているか、またはプロファイルコンテンツが正しくない場合は、インポートに失敗します。たとえば、必要な属性がない場合や、指定したファイルで定義されているプロファイル ID の値が ipa certprofile-import に指定されているプロファイル ID と一致しない場合は、インポートに失敗します。
新規プロファイルのテンプレートを取得するには、指定した既存のプロファイルをファイルにエクスポートする --out オプションを指定して ipa certprofile-show コマンドを実行します。以下に例を示します。
$ ipa certprofile-show caIPAserviceCert --out=file_name
必要に応じて、エクスポートされたファイルを編集し、新しいプロファイルとしてインポートできます。

証明書プロファイルの表示

IdM に現在保存されている証明書プロファイルをすべて表示するには、ipa certprofile-find コマンドを使用します。
$ ipa certprofile-find
------------------
3 profiles matched
------------------
  Profile ID: caIPAserviceCert
  Profile description: Standard profile for network services
  Store issued certificates: TRUE

  Profile ID: IECUserRoles
...
特定のプロファイルに関する情報を表示するには、ipa certprofile-show コマンドを使用します。
$ ipa certprofile-show profile_ID
  Profile ID: profile_ID
  Profile description: S/MIME certificates
  Store issued certificates: TRUE

証明書プロファイルの変更

既存の証明書プロファイルを変更するには、ipa certprofile-mod コマンドを使用します。ipa certprofile-mod で受け入れられるコマンドラインオプションを使用して、必要な変更を渡します。たとえば、プロファイルの説明を変更し、IdM が発行した証明書を保存するかどうかを変更するには、以下を実行します。
$ ipa certprofile-mod profile_ID --desc="New description" --store=False
------------------------------------
Modified Certificate Profile "profile_ID"
------------------------------------
  Profile ID: profile_ID
  Profile description: New description
  Store issued certificates: FALSE
証明書プロファイル設定を更新するには、--file オプションを使用して更新した設定が含まれるファイルをインポートします。以下に例を示します。
$ ipa certprofile-mod profile_ID --file=new_configuration.cfg

証明書プロファイルの削除

IdM から既存の証明書プロファイルを削除するには、ipa certprofile-del コマンドを使用します。
$ ipa certprofile-del profile_ID
-----------------------
Deleted profile "profile_ID"
-----------------------

24.4.3. Web UI からの証明書プロファイル管理

IdM Web UI から証明書プロファイルを管理するには、次のコマンドを実行します。
  1. Authentication タブおよび Certificates サブタブを開きます。
  2. 証明書プロファイル セクションを開きます

    図24.7 Web UI での証明書プロファイル管理

    Web UI での証明書プロファイル管理
Certificate Profiles セクションで、既存のプロファイルに関する情報の表示、属性の変更、または選択したプロファイルの削除を行うことができます。
たとえば、既存の証明書プロファイルを変更するには、以下を実行します。
  1. プロファイル名をクリックして、プロファイルの設定ページを開きます。
  2. プロファイル設定ページで、必要な情報を入力します。
  3. Save をクリックし て、新しい設定を確定します。

    図24.8 Web UI での証明書プロファイルの変更

    Web UI での証明書プロファイルの変更
Store で発行した証明書を有効にすると、発行した証明書がクライアントに配信され、ターゲット IdM プリンシパルの userCertificate 属性に保存されます。このオプションを無効にすると、発行した証明書はクライアントに配信されますが、IdM に保存されません。通常は、有効期限の短い複数の証明書を発行する必要がある場合には無効になります。
現在、Web UI で証明書プロファイルの管理操作が利用できないことに注意してください。
  • Web UI で証明書プロファイルをインポートすることはできません。証明書をインポートするには、ipa certprofile-import コマンドを使用します。
  • 属性と値のペアを設定、追加、または削除することはできません。属性と値のペアを変更するには、ipa certprofile-mod コマンドを使用します。
  • 更新された証明書プロファイル設定をインポートすることはできません。更新されたプロファイル設定を含むファイルをインポートするには、ipa certprofile-mod --file=file_name コマンドを使用します。

24.4.4. 証明書プロファイルを使用した IdM サーバーのアップグレード

IdM サーバーをアップグレードする場合、サーバーに含まれるプロファイルはすべてインポートおよび有効になります。
複数のサーバーレプリカをアップグレードする場合、最初にアップグレードされたレプリカのプロファイルがインポートされます。その他のレプリカでは、IdM は他のプロファイルが存在することを検知し、プロファイルのセット間で競合を解決したりしません。レプリカにカスタムプロファイルが定義されている場合には、アップグレード前にすべてのレプリカのプロファイルの一貫性があることを確認します。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。