Show Table of Contents
第26章 証明書と認証局の管理
26.1. 軽量のサブ証明局 (CA)
統合された Certificate System (CS) 証明局 (CA) で IdM システム環境が設定されている場合には、軽量のサブ CA を作成することができます。VPN (仮想プライベートネットワーク) など、特定のサブ CA が発行した証明書のみを受け入れるようにサービスを設定できます。同時に、別のサブ CA またはルート CA が発行した証明書だけを受け入れるように、他のサービスを設定することもできます。
サブ CA の中間証明書を破棄する場合には、このサブ CA で発行された証明書はすべて無効になります。
統合 CA で IdM を設定する場合は、自動的に作成された
ipa CA が証明書システムのルート CA になります。作成するサブ CA はすべて、このルート CA に従属します。
26.1.1. 軽量のサブ証明局 (CA) の作成
サブ CA の作成に関する詳細は、以下を参照してください。
Web UI からのサブ CA の作成
vpn-ca という名前の新しいサブ CA を作成します。
- Authentication タブを開き Certificates サブタブを選択します。
- Certificate Authorities タブを選択します。 をクリックします。
- CA の名前とサブジェクト DN を入力します。
図26.1 CA の追加
サブジェクト DN は、IdM CA インフラストラクチャーで一意でなければなりません。
コマンドラインからのサブ CA の作成
vpn-ca という名前の新しいサブ CA を作成するには以下を入力します。
[root@ipaserver ~]# ipa ca-add vpn-ca --subject="CN=VPN,O=IDM.EXAMPLE.COM" ------------------- Created CA "vpn-ca" ------------------- Name: vpn-ca Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc Subject DN: CN=VPN,O=IDM.EXAMPLE.COM Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
- Name
- CA の名前
- 認証局の ID
- CA 用に自動的に作成される個別 ID
- サブジェクト DN
- サブジェクトの識別名 (DN)。IdM CA インフラストラクチャーで一意でなければなりません。
- 発行者 DN
- サブ CA の証明書を発行した親 CA。サブ CA はすべて IdM ルート CA の子として作成されます。
新規の CA 署名証明書が正しく IdM のデータベースに追加されたことを確認するには、以下を実行します。
[root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
caSigningCert cert-pki-ca CTu,Cu,Cu
Server-Cert cert-pki-ca u,u,u
auditSigningCert cert-pki-ca u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca u,u,u
subsystemCert cert-pki-ca u,u,u注記
証明書システムのインスタンスがインストールされると、新しい CA の証明書は、すべてのレプリカに自動的に転送されます。
26.1.2. 軽量のサブ CA の削除
サブ CA の削除に関する詳細は、以下を参照してください。
Web UI からの サブ CA の削除
- Authentication タブを開き Certificates サブタブを選択します。
- Certificate Authorities を選択します。
- 削除するサブ CA を選択して をクリックします。
- をクリックして確定します。
コマンドラインからのサブ CA の削除
サブ CA を削除するには、以下を入力します。
[root@ipaserver ~]# ipa ca-del vpn-ca ------------------- Deleted CA "vpn-ca" -------------------
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.