Show Table of Contents
第26章 証明書と認証局の管理
26.1. 軽量のサブ証明局 (CA)
統合された Certificate System (CS) 証明局 (CA) で IdM システム環境が設定されている場合には、軽量のサブ CA を作成することができます。VPN (仮想プライベートネットワーク) など、特定のサブ CA が発行した証明書のみを受け入れるようにサービスを設定できます。同時に、別のサブ CA またはルート CA が発行した証明書だけを受け入れるように、他のサービスを設定することもできます。
サブ CA の中間証明書を破棄する場合には、このサブ CA で発行された証明書はすべて無効になります。
統合 CA で IdM を設定する場合は、自動的に作成された
ipa CA が証明書システムのルート CA になります。作成するサブ CA はすべて、このルート CA に従属します。
26.1.1. 軽量のサブ証明局 (CA) の作成
サブ CA の作成に関する詳細は、以下を参照してください。
Web UI からのサブ CA の作成
vpn-ca という名前の新しいサブ CA を作成します。
- Authentication タブを開き Certificates サブタブを選択します。
- Certificate Authorities タブを選択します。 をクリックします。
- CA の名前とサブジェクト DN を入力します。
図26.1 CA の追加
サブジェクト DN は、IdM CA インフラストラクチャーで一意でなければなりません。
コマンドラインからのサブ CA の作成
vpn-ca という名前の新しいサブ CA を作成するには以下を入力します。
[root@ipaserver ~]# ipa ca-add vpn-ca --subject="CN=VPN,O=IDM.EXAMPLE.COM" ------------------- Created CA "vpn-ca" ------------------- Name: vpn-ca Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc Subject DN: CN=VPN,O=IDM.EXAMPLE.COM Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
- 名前
- CA の名前
- 認証局の ID
- CA 用に自動的に作成される個別 ID
- サブジェクト DN
- サブジェクトの識別名 (DN)。IdM CA インフラストラクチャーで一意でなければなりません。
- 発行者 DN
- サブ CA の証明書を発行した親 CA。サブ CA はすべて IdM ルート CA の子として作成されます。
新規の CA 署名証明書が正しく IdM のデータベースに追加されたことを確認するには、以下を実行します。
[root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
caSigningCert cert-pki-ca CTu,Cu,Cu
Server-Cert cert-pki-ca u,u,u
auditSigningCert cert-pki-ca u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca u,u,u
subsystemCert cert-pki-ca u,u,u注記
証明書システムのインスタンスがインストールされると、新しい CA の証明書は、すべてのレプリカに自動的に転送されます。
26.1.2. 軽量のサブ CA の削除
サブ CA の削除に関する詳細は、以下を参照してください。
Web UI からの サブ CA の削除
- Authentication タブを開き Certificates サブタブを選択します。
- Certificate Authorities を選択します。
- 削除するサブ CA を選択して をクリックします。
- をクリックして確定します。
コマンドラインからのサブ CA の削除
サブ CA を削除するには、以下を入力します。
[root@ipaserver ~]# ipa ca-del vpn-ca ------------------- Deleted CA "vpn-ca" -------------------