Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第26章 証明書と認証局の管理

26.1. 軽量サブ CA

IdM インストールが統合証明書システム (CS) 認証局 (CA) で設定されている場合は、軽量のサブ CA を作成できます。これにより、1 つのサブ CA が発行する証明書のみを受け入れるように、仮想プライベートネットワーク (VPN) ゲートウェイなどのサービスを設定できます。同時に、別のサブ CA またはルート CA が発行する証明書のみを受け入れるように他のサービスを設定できます。
サブ CA の中間証明書を破棄する場合には、このサブ CA で発行された証明書はすべて無効になります。
統合 CA を使用して IdM を設定する場合は、自動作成された ipa CA は、証明書システムのルート CA になります。作成するサブ CA はすべてこのルート CA の下位局になります。

26.1.1. 軽量のサブ CA の作成

サブ CA の作成に関する詳細は、以下を参照してください。

Web UI でのサブ CA の作成

vpn-ca という名前のサブ CA を新たに作成するには、以下を実行します。
  1. Authentication タブを開き、Certificates サブタブを選択します。
  2. Certificate Authorities を選択し、Add をクリックします。
  3. CA の名前およびサブジェクト DN を入力します。

    図26.1 CA の追加

    CA の追加
    サブジェクト DN は、IdM CA インフラストラクチャーで一意である必要があります。

コマンドラインでのサブ CA の作成

vpn-ca という名前のサブ CA を新たに作成するには、次のコマンドを実行します。 
[root@ipaserver ~]# ipa ca-add vpn-ca --subject="CN=VPN,O=IDM.EXAMPLE.COM"
-------------------
Created CA "vpn-ca"
-------------------
  Name: vpn-ca
  Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc
  Subject DN: CN=VPN,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
Name
CA の名前
認証局 ID
CA 用に自動作成される個別 ID。
発行先 DN
サブジェクト識別名 (DN)サブジェクト DN は、IdM CA インフラストラクチャーで一意である必要があります。
発行者 DN
サブ CA 証明書を発行した親 CA。サブ CA はすべて、IdM のルート CA の子として作成されます。
新しい CA 署名証明書が IdM データベースに正常に追加されたことを確認するには、次のコマンドを実行します。 
[root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L

Certificate Nickname                                           Trust Attributes
                                                               SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca                                      CTu,Cu,Cu
Server-Cert cert-pki-ca                                        u,u,u
auditSigningCert cert-pki-ca                                   u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca                                    u,u,u
subsystemCert cert-pki-ca                                      u,u,u
注記
新しい CA 証明書は、証明書システムインスタンスがインストールされていると、すべてのレプリカに自動的に転送されます。

26.1.2. 軽量サブ CA の削除

サブ CA の削除に関する詳細は、を参照してください。

Web UI からのサブ CA の削除

  1. Authentication タブを開き、Certificates サブタブを選択します。
  2. Certificate Authorities を選択します。
  3. 削除するサブ CA を選択し、Delete をクリックします。
  4. Delete をクリックして確定します。

コマンドラインでのサブ CA の削除

サブ CA を削除するには、以下を入力します。 
[root@ipaserver ~]# ipa ca-del vpn-ca
-------------------
Deleted CA "vpn-ca"
-------------------