第26章 証明書と認証局の管理

26.1. 軽量のサブ証明局 (CA)

統合された Certificate System (CS) 証明局 (CA) で IdM システム環境が設定されている場合には、軽量のサブ CA を作成することができます。VPN (仮想プライベートネットワーク) など、特定のサブ CA が発行した証明書のみを受け入れるようにサービスを設定できます。同時に、別のサブ CA またはルート CA が発行した証明書だけを受け入れるように、他のサービスを設定することもできます。
サブ CA の中間証明書を破棄する場合には、このサブ CA で発行された証明書はすべて無効になります。
統合 CA で IdM を設定する場合は、自動的に作成された ipa CA が証明書システムのルート CA になります。作成するサブ CA はすべて、このルート CA に従属します。

26.1.1. 軽量のサブ証明局 (CA) の作成

サブ CA の作成に関する詳細は、以下を参照してください。

Web UI からのサブ CA の作成

vpn-ca という名前の新しいサブ CA を作成します。
  1. Authentication タブを開き Certificates サブタブを選択します。
  2. Certificate Authorities タブを選択します。Add をクリックします。
  3. CA の名前とサブジェクト DN を入力します。
    CA の追加

    図26.1 CA の追加

    サブジェクト DN は、IdM CA インフラストラクチャーで一意でなければなりません。

コマンドラインからのサブ CA の作成

vpn-ca という名前の新しいサブ CA を作成するには以下を入力します。
[root@ipaserver ~]# ipa ca-add vpn-ca --subject="CN=VPN,O=IDM.EXAMPLE.COM"
-------------------
Created CA "vpn-ca"
-------------------
  Name: vpn-ca
  Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc
  Subject DN: CN=VPN,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
名前
CA の名前
認証局の ID
CA 用に自動的に作成される個別 ID
サブジェクト DN
サブジェクトの識別名 (DN)。IdM CA インフラストラクチャーで一意でなければなりません。
発行者 DN
サブ CA の証明書を発行した親 CA。サブ CA はすべて IdM ルート CA の子として作成されます。
新規の CA 署名証明書が正しく IdM のデータベースに追加されたことを確認するには、以下を実行します。
[root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L

Certificate Nickname                                           Trust Attributes
                                                               SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca                                      CTu,Cu,Cu
Server-Cert cert-pki-ca                                        u,u,u
auditSigningCert cert-pki-ca                                   u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca                                    u,u,u
subsystemCert cert-pki-ca                                      u,u,u

注記

証明書システムのインスタンスがインストールされると、新しい CA の証明書は、すべてのレプリカに自動的に転送されます。

26.1.2. 軽量のサブ CA の削除

サブ CA の削除に関する詳細は、以下を参照してください。

Web UI からの サブ CA の削除

  1. Authentication タブを開き Certificates サブタブを選択します。
  2. Certificate Authorities を選択します。
  3. 削除するサブ CA を選択して Delete をクリックします。
  4. Delete をクリックして確定します。

コマンドラインからのサブ CA の削除

サブ CA を削除するには、以下を入力します。
[root@ipaserver ~]# ipa ca-del vpn-ca
-------------------
Deleted CA "vpn-ca"
-------------------