Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
24.4. 証明書のプロファイル
証明書プロファイルは、証明書発行に関する制限、登録方法、登録用の出入力形式のほかに特定のプロファイルに属する証明書のコンテンツを定義します。ある証明書プロファイルは特定のタイプの証明書の発行に関連付けられます。IdM のユーザー、サービス、およびホストでは、異なる証明書プロファイルを定義できます。
CA は証明書の署名で証明書プロファイルを使用して以下を判定します。
- CA が証明書署名リクエスト (CSR) を受け付けられるかどうか。
- 証明書にどの機能と拡張機能を記載するか。
IdM にはデフォルトで、
caIPAserviceCert
と IECUserRoles
の 2 つの証明書プロファイルがあります。これに加えて、カスタムプロファイルをインポートすることもできます。
カスタムプロファイルを使用すると、特定かつ関連のない目的で証明書を発行することが可能になります。たとえば、あるプロファイルの使用を 1 ユーザーもしくは 1 グループに限定し、他のユーザーやグループがこのプロファイルを使用して認証目的で証明書を発行できないようにすることが可能です。
サポートされる証明書プロファイルの設定については、Red Hat Certificate System 『Administration Guide』の「Defaults Reference」と「Constraints Reference」を参照してください。
注記
証明書プロファイルと CA ACL 「証明局の ACL ルール」 を結びつけることで、管理者はカスタム証明書プロファイルへのアクセスを定義、制御できるようになります。プロファイルと CA ACL を使用してユーザー証明書を発行する方法については、「IdM CA での証明書プロファイルおよび ACL を使用したユーザー証明書の発行」 を参照してください。
24.4.1. 証明書プロファイルの作成
証明書プロファイル作成の詳細は、『Red Hat Certificate System 9 Administration Guide』の以下の文書を参照してください。
- 『Setting up Certificate Profiles』 セクションでは、新しい証明書プロファイルと、それらが構成される仕組みを説明しています。
- 『Defaults, Constraints, and Extensions for Certificates and CRLs』 付録では、オブジェクト識別子 (OID) の、証明書プロファイルで使用できるその他のフィールドを一覧表示しています。
24.4.2. コマンドラインからの証明書プロファイル管理
IdM プロファイル管理用の
certprofile
プラグインを使用すると、権限のあるユーザーは IdM 証明書プロファイルのインポート、修正、または削除ができるようになります。このプラグインがサポートするコマンドすべてを表示するには、ipa certprofile
コマンドを実行します。
$ ipa certprofile Manage Certificate Profiles ... EXAMPLES: Import a profile that will not store issued certificates: ipa certprofile-import ShortLivedUserCert \ --file UserCert.profile --desc "User Certificates" \ --store=false Delete a certificate profile: ipa certprofile-del ShortLivedUserCert ...
certprofile
操作を実行するには、必要なパーミッションがあるユーザーとして操作する必要があります。IdM にはデフォルトで以下の証明書プロファイル関連のパーミッションがあります。
- System: Read Certificate Profiles
- ユーザーが全プロファイル属性を読み込むことを許可します。
- System: Import Certificate Profile
- ユーザーが証明書プロファイルを IdM にインポートすることを許可します。
- System: Delete Certificate Profile
- ユーザーが既存の証明書プロファイルを削除することを許可します。
- System: Modify Certificate Profile
- ユーザーがプロファイル属性を修正し、プロファイルを有効化、無効化することを許可します。
これらのパーミッションはすべて、デフォルトの
CA Administrator
権限に含まれています。IdM のロールベースのアクセス制御およびパーミッションの管理についての詳細は、「ロールベースのアクセス制御の定義」 を参照してください。
注記
証明書をリクエストする際には、
--profile-id
オプションを ipa cert-request
コマンドに追加して使用するプロファイルを指定することができます。プロファイル ID が指定されない場合は、デフォルトの caIPAserviceCert
プロファイルが使用されます。
本セクションでは、
ipa certprofile
コマンドを使用してプロファイルを管理する重要な側面のみを説明しています。このコマンドに関する完全な情報については、以下のように --help
オプションを追加して実行してください。
$ ipa certprofile-mod --help Usage: ipa [global-options] certprofile-mod ID [options] Modify Certificate Profile configuration. Options: -h, --help show this help message and exit --desc=STR Brief description of this profile --store=BOOL Whether to store certs issued using this profile ...
証明書プロファイルのインポート
IdM に新規の証明書プロファイルをインポートするには、
ipa certprofile-import
コマンドを使用します。このコマンドをオプションなしで実行すると対話型セッションが開始され、certprofile-import
スクリプトが証明書のインポートに必要な情報を要求します。
$ ipa certprofile-import Profile ID: smime Profile description: S/MIME certificates Store issued certificates [True]: TRUE Filename of a raw profile. The XML format is not supported.: smime.cfg ------------------------ Imported profile "smime" ------------------------ Profile ID: smime Profile description: S/MIME certificates Store issued certificates: TRUE
ipa certprofile-import
コマンドは以下のようなオプションを取ります。
--file
- このオプションは、プロファイル設定を含むファイルを直接
ipa certprofile-import
に渡します。$ ipa certprofile-import --file=smime.cfg
--store
- このオプションは
Store issued certificates
属性を設定します。以下の 2 つの値を受け付けます。True
。この場合、発行された証明書がクライアントに配布され、ターゲットの IdM プリンシパルのuserCertificate
属性に保存されます。False
。この場合、発行された証明書がクライアントに配布されますが、IdM には保存されません。このオプションは、複数の短期証明書を発行する際によく使用されます。
ipa certprofile-import
で指定されたプロファイル ID が既に使用されている場合、またはプロファイルコンテンツが正しくない場合は、インポートに失敗します。たとえば、必須の属性がない場合や、提供されたファイルで定義されているプロファイル ID が ipa certprofile-import
で指定されたものと一致しない場合は、インポートに失敗します。
新規プロファイル用のテンプレートを取得するには、
ipa certprofile-show
コマンドを --out
オプションと実行することで、指定された既存のプロファイルがファイルにエクスポートされます。例を示します。
$ ipa certprofile-show caIPAserviceCert --out=file_name
この後、エクスポートされたファイルを必要に応じて編集し、新規プロファイルとしてインポートできます。
証明書プロファイルの表示
IdM に保存されている証明書プロファイルすべてを表示するには、
ipa certprofile-find
コマンドを使用します。
$ ipa certprofile-find ------------------ 3 profiles matched ------------------ Profile ID: caIPAserviceCert Profile description: Standard profile for network services Store issued certificates: TRUE Profile ID: IECUserRoles ...
特定プロファイルの情報を表示するには、
ipa certprofile-show
コマンドを使用します。
$ ipa certprofile-show profile_ID Profile ID: profile_ID Profile description: S/MIME certificates Store issued certificates: TRUE
証明書プロファイルの修正
既存の証明書プロファイルを修正するには、
ipa certprofile-mod
コマンドを使用します。ipa certprofile-mod
にコマンドラインオプションで必要な修正を渡します。たとえば、プロファイルの内容を修正し、IdM が発行された証明書を保存するかどうかを変更するには、以下を実行します。
$ ipa certprofile-mod profile_ID --desc="New description" --store=False ------------------------------------ Modified Certificate Profile "profile_ID" ------------------------------------ Profile ID: profile_ID Profile description: New description Store issued certificates: FALSE
証明書プロファイル設定を更新するには、
--file
オプションを使用して更新された設定を含むファイルをインポートします。
$ ipa certprofile-mod profile_ID --file=new_configuration.cfg
証明書プロファイルの削除
IdM から既存の証明書プロファイルを削除するには、
ipa certprofile-del
コマンドを使用します。
$ ipa certprofile-del profile_ID ----------------------- Deleted profile "profile_ID" -----------------------
24.4.3. Web UI からの証明書プロファイル管理
IdM Web UI で証明書プロファイルを管理するには、以下の手順に従います。
- Authentication タブを開き Certificates サブタブを選択します。
- Certificate Profiles セクションを開きます。
図24.7 Web UI での証明書プロファイル管理
Certificate Profiles セクションでは、既存のプロファイルについての情報を表示したり、属性を修正したり、選択したプロファイルを削除することができます。
たとえば、既存の証明書プロファイルを修正するには、以下の手順に従います。
- プロファイル名をクリックして、プロファイルの設定ページを開きます。
- 開いたページで必要な情報を入力します。
図24.8 Web UI での証明書プロファイルの修正
Store issued certificates
オプションを有効にすると、発行された証明書はクライアントに配布されるほか、ターゲットの IdM プリンシパルの userCertificate
属性に保存されます。このオプションを無効にすると、発行された証明書はクライアントに配布されますが、IdM には保存されません。複数の短期証明書の発行が必要な際には、証明書の保存は無効にされることがよくあります。
Web UI では現時点で、証明書プロファイル管理の以下の操作ができないことに注意してください。
- Web UI では証明書プロファイルのインポートができません。証明書をインポートするには、
ipa certprofile-import
コマンドを使用します。 - 属性と値のペアを設定、追加、または削除することができません。このペアを修正する場合は、
ipa certprofile-mod
コマンドを使用します。 - 更新された証明書プロファイルの設定をインポートすることはできません。これを実行するには、
ipa certprofile-mod --file=file_name
コマンドを使用します。
証明書プロファイル管理に使用するコマンドの詳細については、「コマンドラインからの証明書プロファイル管理」 を参照してください。
24.4.4. 証明書プロファイルのある IdM サーバーのアップグレード
IdM サーバーをアップグレードすると、そこに含まれているプロファイルはすべてインポート、有効化されます。
複数のサーバーレプリカをアップグレードする場合は、最初にアップグレードされるレプリカのプロファイルがインポートされます。他のレプリカに関しては、IdM は残りのレプリカがあることを検出しますが、それらをインポートしたり、プロファイル間の競合を解決したりすることはありません。レプリカ上にカスタムプロファイルが定義されている場合は、アップグレード前に全レプリカ上のプロファイルで整合性がとれていることを確認してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。