24.4. 証明書のプロファイル

証明書プロファイルは、証明書発行に関する制限、登録方法、登録用の出入力形式のほかに特定のプロファイルに属する証明書のコンテンツを定義します。ある証明書プロファイルは特定のタイプの証明書の発行に関連付けられます。IdM のユーザー、サービス、およびホストでは、異なる証明書プロファイルを定義できます。
CA は証明書の署名で証明書プロファイルを使用して以下を判定します。
  • CA が証明書署名リクエスト (CSR) を受け付けられるかどうか。
  • 証明書にどの機能と拡張機能を記載するか。
IdM にはデフォルトで、caIPAserviceCertIECUserRoles の 2 つの証明書プロファイルがあります。これに加えて、カスタムプロファイルをインポートすることもできます。
カスタムプロファイルを使用すると、特定かつ関連のない目的で証明書を発行することが可能になります。たとえば、あるプロファイルの使用を 1 ユーザーもしくは 1 グループに限定し、他のユーザーやグループがこのプロファイルを使用して認証目的で証明書を発行できないようにすることが可能です。
サポートされる証明書プロファイルの設定については、Red Hat Certificate System 『Administration Guide』の「Defaults Reference」「Constraints Reference」を参照してください。

注記

証明書プロファイルと CA ACL 「証明局の ACL ルール」 を結びつけることで、管理者はカスタム証明書プロファイルへのアクセスを定義、制御できるようになります。プロファイルと CA ACL を使用してユーザー証明書を発行する方法については、「IdM CA での証明書プロファイルおよび ACL を使用したユーザー証明書の発行」 を参照してください。

24.4.1. 証明書プロファイルの作成

証明書プロファイル作成の詳細は、『Red Hat Certificate System 9 Administration Guide』の以下の文書を参照してください。

24.4.2. コマンドラインからの証明書プロファイル管理

IdM プロファイル管理用の certprofile プラグインを使用すると、権限のあるユーザーは IdM 証明書プロファイルのインポート、修正、または削除ができるようになります。このプラグインがサポートするコマンドすべてを表示するには、ipa certprofile コマンドを実行します。 
$ ipa certprofile
Manage Certificate Profiles

...

EXAMPLES:

  Import a profile that will not store issued certificates:
    ipa certprofile-import ShortLivedUserCert \
      --file UserCert.profile --desc "User Certificates" \
      --store=false

  Delete a certificate profile:
    ipa certprofile-del ShortLivedUserCert
...
certprofile 操作を実行するには、必要なパーミッションがあるユーザーとして操作する必要があります。IdM にはデフォルトで以下の証明書プロファイル関連のパーミッションがあります。
System: Read Certificate Profiles
ユーザーが全プロファイル属性を読み込むことを許可します。
System: Import Certificate Profile
ユーザーが証明書プロファイルを IdM にインポートすることを許可します。
System: Delete Certificate Profile
ユーザーが既存の証明書プロファイルを削除することを許可します。
System: Modify Certificate Profile
ユーザーがプロファイル属性を修正し、プロファイルを有効化、無効化することを許可します。
これらのパーミッションはすべて、デフォルトの CA Administrator 権限に含まれています。IdM のロールベースのアクセス制御およびパーミッションの管理についての詳細は、「ロールベースのアクセス制御の定義」 を参照してください。

注記

証明書をリクエストする際には、--profile-id オプションを ipa cert-request コマンドに追加して使用するプロファイルを指定することができます。プロファイル ID が指定されない場合は、デフォルトの caIPAserviceCert プロファイルが使用されます。
本セクションでは、ipa certprofile コマンドを使用してプロファイルを管理する重要な側面のみを説明しています。このコマンドに関する完全な情報については、以下のように --help オプションを追加して実行してください。 
$ ipa certprofile-mod --help
Usage: ipa [global-options] certprofile-mod ID [options]

Modify Certificate Profile configuration.
Options:
  -h, --help     show this help message and exit
  --desc=STR     Brief description of this profile
  --store=BOOL   Whether to store certs issued using this profile
...

証明書プロファイルのインポート

IdM に新規の証明書プロファイルをインポートするには、ipa certprofile-import コマンドを使用します。このコマンドをオプションなしで実行すると対話型セッションが開始され、certprofile-import スクリプトが証明書のインポートに必要な情報を要求します。 
$ ipa certprofile-import

Profile ID: smime
Profile description: S/MIME certificates
Store issued certificates [True]: TRUE
Filename of a raw profile. The XML format is not supported.: smime.cfg
------------------------
Imported profile "smime"
------------------------
  Profile ID: smime
  Profile description: S/MIME certificates
  Store issued certificates: TRUE
ipa certprofile-import コマンドは以下のようなオプションを取ります。
--file
このオプションは、プロファイル設定を含むファイルを直接 ipa certprofile-import に渡します。 
$ ipa certprofile-import --file=smime.cfg
--store
このオプションは Store issued certificates 属性を設定します。以下の 2 つの値を受け付けます。
  • True。この場合、発行された証明書がクライアントに配布され、ターゲットの IdM プリンシパルの userCertificate 属性に保存されます。
  • False。この場合、発行された証明書がクライアントに配布されますが、IdM には保存されません。このオプションは、複数の短期証明書を発行する際によく使用されます。
ipa certprofile-import で指定されたプロファイル ID が既に使用されている場合、またはプロファイルコンテンツが正しくない場合は、インポートに失敗します。たとえば、必須の属性がない場合や、提供されたファイルで定義されているプロファイル ID が ipa certprofile-import で指定されたものと一致しない場合は、インポートに失敗します。
新規プロファイル用のテンプレートを取得するには、ipa certprofile-show コマンドを --out オプションと実行することで、指定された既存のプロファイルがファイルにエクスポートされます。例を示します。 
$ ipa certprofile-show caIPAserviceCert --out=file_name
この後、エクスポートされたファイルを必要に応じて編集し、新規プロファイルとしてインポートできます。

証明書プロファイルの表示

IdM に保存されている証明書プロファイルすべてを表示するには、ipa certprofile-find コマンドを使用します。 
$ ipa certprofile-find
------------------
3 profiles matched
------------------
  Profile ID: caIPAserviceCert
  Profile description: Standard profile for network services
  Store issued certificates: TRUE

  Profile ID: IECUserRoles
...
特定プロファイルの情報を表示するには、ipa certprofile-show コマンドを使用します。 
$ ipa certprofile-show profile_ID
  Profile ID: profile_ID
  Profile description: S/MIME certificates
  Store issued certificates: TRUE

証明書プロファイルの修正

既存の証明書プロファイルを修正するには、ipa certprofile-mod コマンドを使用します。ipa certprofile-mod にコマンドラインオプションで必要な修正を渡します。たとえば、プロファイルの内容を修正し、IdM が発行された証明書を保存するかどうかを変更するには、以下を実行します。 
$ ipa certprofile-mod profile_ID --desc="New description" --store=False
------------------------------------
Modified Certificate Profile "profile_ID"
------------------------------------
  Profile ID: profile_ID
  Profile description: New description
  Store issued certificates: FALSE
証明書プロファイル設定を更新するには、--file オプションを使用して更新された設定を含むファイルをインポートします。 
$ ipa certprofile-mod profile_ID --file=new_configuration.cfg

証明書プロファイルの削除

IdM から既存の証明書プロファイルを削除するには、ipa certprofile-del コマンドを使用します。 
$ ipa certprofile-del profile_ID
-----------------------
Deleted profile "profile_ID"
-----------------------

24.4.3. Web UI からの証明書プロファイル管理

IdM Web UI で証明書プロファイルを管理するには、以下の手順に従います。
  1. Authentication タブを開き Certificates サブタブを選択します。
  2. Certificate Profiles セクションを開きます。
    Web UI での証明書プロファイル管理

    図24.7 Web UI での証明書プロファイル管理

Certificate Profiles セクションでは、既存のプロファイルについての情報を表示したり、属性を修正したり、選択したプロファイルを削除することができます。
たとえば、既存の証明書プロファイルを修正するには、以下の手順に従います。
  1. プロファイル名をクリックして、プロファイルの設定ページを開きます。
  2. 開いたページで必要な情報を入力します。
  3. Save をクリックして新規設定を保存します。
    Web UI での証明書プロファイルの修正

    図24.8 Web UI での証明書プロファイルの修正

Store issued certificates オプションを有効にすると、発行された証明書はクライアントに配布されるほか、ターゲットの IdM プリンシパルの userCertificate 属性に保存されます。このオプションを無効にすると、発行された証明書はクライアントに配布されますが、IdM には保存されません。複数の短期証明書の発行が必要な際には、証明書の保存は無効にされることがよくあります。
Web UI では現時点で、証明書プロファイル管理の以下の操作ができないことに注意してください。
  • Web UI では証明書プロファイルのインポートができません。証明書をインポートするには、ipa certprofile-import コマンドを使用します。
  • 属性と値のペアを設定、追加、または削除することができません。このペアを修正する場合は、ipa certprofile-mod コマンドを使用します。
  • 更新された証明書プロファイルの設定をインポートすることはできません。これを実行するには、ipa certprofile-mod --file=file_name コマンドを使用します。
証明書プロファイル管理に使用するコマンドの詳細については、「コマンドラインからの証明書プロファイル管理」 を参照してください。

24.4.4. 証明書プロファイルのある IdM サーバーのアップグレード

IdM サーバーをアップグレードすると、そこに含まれているプロファイルはすべてインポート、有効化されます。
複数のサーバーレプリカをアップグレードする場合は、最初にアップグレードされるレプリカのプロファイルがインポートされます。他のレプリカに関しては、IdM は残りのレプリカがあることを検出しますが、それらをインポートしたり、プロファイル間の競合を解決したりすることはありません。レプリカ上にカスタムプロファイルが定義されている場合は、アップグレード前に全レプリカ上のプロファイルで整合性がとれていることを確認してください。