Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第26章 証明書と認証局の管理

26.1. 軽量サブ CA

IdM インストールが統合証明書システム(CS)認証局(CA)で設定されている場合は、軽量のサブ CA を作成できます。仮想プライベートネットワーク(VPN)ゲートウェイなどのサービスを設定し、1 つのサブ CA が発行する証明書のみを受け入れることができます。同時に、別のサブ CA またはルート CA が発行する証明書のみを受け入れるように他のサービスを設定できます。
サブ CA の中間証明書を取り消すと、このサブ CA が発行する証明書はすべて自動的に無効になります。
統合 CA を使用して IdM を設定する場合は、自動作成された ipa CA は証明書システムのルート CA になります。サブ CA はすべて、作成するサブ CA で、このルート CA の配下に配置されます。

26.1.1. イタイトサブ CA の作成

サブ CA の作成に関する詳細は、を参照してください。

Web UI からのサブ CA の作成

vpn-ca という名前のサブ CA を新たに作成するには、以下を実行します。
  1. Authentication タブを開き、Certificate サブタブを選択します
  2. Certificate Authorities を選択し、Add をクリックします。
  3. CA の名前とサブジェクト DN を入力します。

    図26.1 CA の追加

    CA の追加
    サブジェクト DN は、IdM CA インフラストラクチャー内で一意である必要があります。

コマンドラインからのサブ CA の作成

vpn-ca という名前のサブ CA を新たに作成するには、次のコマンドを実行します。 
[root@ipaserver ~]# ipa ca-add vpn-ca --subject="CN=VPN,O=IDM.EXAMPLE.COM"
-------------------
Created CA "vpn-ca"
-------------------
  Name: vpn-ca
  Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc
  Subject DN: CN=VPN,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
名前
CA の名前
認証局 ID
CA 用に自動的に作成される個別 ID。
発行先 DN
サブジェクト識別名(DN)サブジェクト DN は、IdM CA インフラストラクチャー内で一意である必要があります。
発行者 DN
サブ CA 証明書を発行した親 CA。サブ CA はすべて、IdM のルート CA の子として作成されます。
新しい CA 署名証明書が IdM データベースに正常に追加されたことを確認するには、以下を実行します。 
[root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L

Certificate Nickname                                           Trust Attributes
                                                               SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca                                      CTu,Cu,Cu
Server-Cert cert-pki-ca                                        u,u,u
auditSigningCert cert-pki-ca                                   u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca                                    u,u,u
subsystemCert cert-pki-ca                                      u,u,u
注記
新しい CA 証明書は、証明書システムインスタンスがインストールされていると、すべてのレプリカに自動的に転送されます。

26.1.2. 軽量のサブ CA の削除

サブ CA の削除に関する詳細は、を参照してください。

Web UI からのサブ CA の削除

  1. Authentication タブを開き、Certificate サブタブを選択します
  2. Certificate Authorities を選択します。
  3. 削除するサブ CA を選択し、Delete をクリックします。
  4. Delete をクリックして確定します。

コマンドラインからのサブ CA の削除

サブ CA を削除するには、以下を入力します。 
[root@ipaserver ~]# ipa ca-del vpn-ca
-------------------
Deleted CA "vpn-ca"
-------------------
このページには機械翻訳が使用されている場合があります (詳細はこちら)。