Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

24.4. 証明書プロファイル

証明書プロファイルは、特定のプロファイルに属する証明書の内容と、登録のために証明書、登録方法、入力フォームの発行に関する制約を定義します。1 つの証明書プロファイルが、特定の証明書の発行に関連付けられます。IdM のユーザー、サービス、およびホストに、さまざまな証明書プロファイルを定義できます。
CA は、証明書の署名で証明書プロファイルを使用して、以下を決定します。
  • CA が証明書署名要求 (CSR) を受け入れるかどうか。
  • 証明書にどのような機能と拡張機能が存在するべきか
IdM には、デフォルトで、caIPAserviceCert および IECUserRoles の 2 つの証明書プロファイルが含まれています。さらに、カスタムプロファイルをインポートできます。
カスタム証明書プロファイルを使用すると、特定の非関連目的の証明書を発行できます。たとえば、特定のプロファイルの使用を 1 つのユーザーまたはグループに制限し、他のユーザーやグループがそのプロファイルを使用して認証用の証明書を発行しないようにすることができます。
サポートされる証明書プロファイル設定の詳細は、Red Hat Certificate System 『管理ガイド』のデフォルトの参照および制約の参照 を参照してください。
注記
「認証局 ACL ルール」 では、証明書プロファイルと CA ACL を組み合わせることで、管理者はカスタム証明書プロファイルへのアクセスを定義し、制御できます。プロファイルおよび CA ACL を使用してユーザー証明書を発行する方法は、「IdM CA でユーザー証明書を発行するための証明書プロファイルおよび ACL の使用」 を参照してください。

24.4.1. 証明書プロファイルの作成

証明書プロファイルの作成に関する詳細は、Red 『Hat Certificate System 9 管理ガイドの』 以下のドキュメントを参照してください。

24.4.2. コマンドラインでの証明書プロファイル管理

IdM プロファイルを管理するための certprofile プラグインを使用すると、特権ユーザーが IdM 証明書プロファイルのインポート、変更、または削除を行うことができます。プラグインがサポートするすべてのコマンドを表示するには、ipa certprofile コマンドを実行します。
$ ipa certprofile
Manage Certificate Profiles

...

EXAMPLES:

  Import a profile that will not store issued certificates:
    ipa certprofile-import ShortLivedUserCert \
      --file UserCert.profile --desc "User Certificates" \
      --store=false

  Delete a certificate profile:
    ipa certprofile-del ShortLivedUserCert
...
Certprofile 操作を実行するには、必要なパーミッションを持つユーザーとして操作する必要があります。IdM には、デフォルトで次の証明書プロファイル関連のパーミッションが含まれています。
システム: 証明書プロファイルの読み取り
ユーザーがすべてのプロファイル属性を読み取りできるようにします。
System: Certificate Profile のインポート
ユーザーが証明書プロファイルを IdM にインポートできるようにします。
System: 証明書プロファイルの削除
ユーザーが既存の証明書プロファイルを削除できるようにします。
システム: 証明書プロファイルの変更
ユーザーがプロファイル属性を変更し、プロファイルを無効化または有効化できるようにします。
これらのすべてのパーミッションは、デフォルトの CA Administrator 特権に含まれます。IdM のロールベースのアクセス制御およびパーミッションの管理に関する詳細は、「ロールベースのアクセス制御の定義」 を参照してください。
注記
証明書を要求する際に、--profile-id オプションを ipa cert-request コマンドに追加して、使用するプロファイルを指定できます。プロファイル ID が指定されていない場合、証明書にデフォルトの caIPAserviceCert プロファイルが使用されます。
本セクションでは、プロファイル管理に ipa certprofile コマンドを使用する最も重要な側面のみを説明します。コマンドの詳細は、以下のように --help オプションを指定して実行します。
$ ipa certprofile-mod --help
Usage: ipa [global-options] certprofile-mod ID [options]

Modify Certificate Profile configuration.
Options:
  -h, --help     show this help message and exit
  --desc=STR     Brief description of this profile
  --store=BOOL   Whether to store certs issued using this profile
...

証明書プロファイルのインポート

新しい証明書プロファイルを IdM にインポートするには、ipa certprofile-import コマンドを使用します。オプションを指定せずにコマンドを実行すると、certpofile-import スクリプトにより、証明書のインポートに必要な情報の入力が求められます。
$ ipa certprofile-import

Profile ID: smime
Profile description: S/MIME certificates
Store issued certificates [True]: TRUE
Filename of a raw profile. The XML format is not supported.: smime.cfg
------------------------
Imported profile "smime"
------------------------
  Profile ID: smime
  Profile description: S/MIME certificates
  Store issued certificates: TRUE
ipa certprofile-import コマンドは、複数のコマンドラインオプションを受け入れます。以下に例を示します。
--file
このオプションは、プロファイル設定を含むファイルを直接 ipa certprofile-import に渡します。以下に例を示します。
$ ipa certprofile-import --file=smime.cfg
--store
このオプションは、Store issued certificates 属性を設定します。以下の 2 つの値を受け入れます。
  • True: 発行した証明書をクライアントに配信し、ターゲット IdM プリンシパルの userCertificate 属性に保存します。
  • False。発行された証明書をクライアントに配信しますが、IdM に保存しません。このオプションは、複数の短期証明書を発行する場合に最も一般的に使用されます。
ipa certprofile-import が指定されたプロファイル ID がすでに使用されている場合や、プロファイルコンテンツが正しくないと、インポートに失敗します。たとえば、必要な属性がない場合や、提供されたファイルで定義されたプロファイル ID の値が ipa certprofile-import で指定されたプロファイル ID と一致しない場合、インポートに失敗します。
新規プロファイルのテンプレートを取得するには、--out オプションを指定して ipa certprofile-show コマンドを実行し、指定した既存プロファイルをファイルにエクスポートします。以下に例を示します。
$ ipa certprofile-show caIPAserviceCert --out=file_name
必要に応じてエクスポートされたファイルを編集し、新しいプロファイルとしてインポートできます。

証明書プロファイルの表示

IdM に現在保存されている証明書プロファイルをすべて表示するには、ipa certprofile-find コマンドを使用します。
$ ipa certprofile-find
------------------
3 profiles matched
------------------
  Profile ID: caIPAserviceCert
  Profile description: Standard profile for network services
  Store issued certificates: TRUE

  Profile ID: IECUserRoles
...
特定のプロファイルに関する情報を表示するには、ipa certprofile-show コマンドを使用します。
$ ipa certprofile-show profile_ID
  Profile ID: profile_ID
  Profile description: S/MIME certificates
  Store issued certificates: TRUE

証明書プロファイルの変更

既存の証明書プロファイルを変更するには、ipa certprofile-mod コマンドを使用します。ipa certprofile-mod で使用できるコマンドラインオプションを使用して、コマンドで必要な変更を渡します。たとえば、プロファイルの説明を変更し、IdM が発行した証明書を保存するかどうかを変更するには、次のコマンドを実行します。
$ ipa certprofile-mod profile_ID --desc="New description" --store=False
------------------------------------
Modified Certificate Profile "profile_ID"
------------------------------------
  Profile ID: profile_ID
  Profile description: New description
  Store issued certificates: FALSE
証明書プロファイル設定を更新するには --file オプションを使用して、更新された設定を含むファイルをインポートします。以下に例を示します。
$ ipa certprofile-mod profile_ID --file=new_configuration.cfg

証明書プロファイルの削除

IdM から既存の証明書プロファイルを削除するには、ipa certprofile-del コマンドを使用します。
$ ipa certprofile-del profile_ID
-----------------------
Deleted profile "profile_ID"
-----------------------

24.4.3. Web UI からの証明書プロファイル管理

IdM Web UI で証明書プロファイルを管理するには、次のコマンドを実行します。
  1. Authentication タブと Certificates サブタブを開きます。
  2. 証明書プロファイル セクションを開きます。

    図24.7 Web UI の証明書プロファイル管理

    Web UI の証明書プロファイル管理
Certificate Profiles セクションで、既存のプロファイルに関する情報を表示したり、属性を変更したり、選択したプロファイルを削除したりできます。
たとえば、既存の証明書プロファイルを変更するには、次のコマンドを実行します。
  1. プロファイル名をクリックして、プロファイル設定ページを開きます。
  2. プロファイル設定ページで、必要な情報を入力します。
  3. Save をクリックして、新しい設定を確定します。

    図24.8 Web UI での証明書プロファイルの変更

    Web UI での証明書プロファイルの変更
Store issued certificates オプションを有効にすると、発行された証明書はクライアントに配信され、ターゲットの IdM プリンシパルの userCertificate 属性に保存されます。オプションが無効になっていると、発行された証明書はクライアントに配信されますが、IdM には保存されません。複数の有効期限の短い証明書を発行する必要がある場合は、多くの場合、証明書の保存は無効になります。
Web UI では、証明書プロファイルの管理操作は現在利用できません。
  • Web UI で証明書プロファイルをインポートすることはできません。証明書をインポートするには、ipa certprofile-import コマンドを使用します。
  • 属性と値のペアの設定、追加、または削除はできません。属性と値のペアを変更するには、ipa certprofile-mod コマンドを使用します。
  • 更新された証明書プロファイル設定をインポートすることはできません。更新されたプロファイル設定を含むファイルをインポートするには、ipa certprofile-mod --file=file_name コマンドを使用します。
証明書プロファイルの管理に使用するコマンドの詳細は、「コマンドラインでの証明書プロファイル管理」 を参照してください。

24.4.4. 証明書プロファイルを使用した IdM サーバーのアップグレード

IdM サーバーをアップグレードすると、サーバーに含まれるプロファイルはすべてインポートされ、有効になります。
複数のサーバーレプリカをアップグレードすると、最初にアップグレードしたレプリカのプロファイルがインポートされます。他のレプリカでは、IdM は他のプロファイルの存在を検出し、インポートしないか、2 つのプロファイル間で競合を解決します。レプリカにカスタムプロファイルが定義されている場合は、アップグレード前にすべてのレプリカのプロファイルが一貫していることを確認してください。