Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.3.2. 使用する CA 設定の決定

IdM は、統合 IdM 認証局 (CA) を使用した、または使用しないサーバーのインストールに対応します。
統合 IdM CA を使用するサーバー
これは、ほとんどのデプロイメントに適したデフォルト設定です。証明書システムは、CA 署名 証明書を使用して、IdM ドメインで証明書を作成して署名します。
警告
Red Hat は、複数のサーバーに CA サービスをインストールすることを強く推奨します。CA サービスを含む初期サーバーのレプリカのインストールは、「CA のあるレプリカのインストール」 を参照してください。
CA を 1 台のサーバーにのみインストールすると、CA サーバーが失敗した場合に CA 設定を復元できる機会なしに CA 設定が失われるリスクがあります。詳細は「Lost CA サーバーのリカバリー」を参照してください。
IdM CA 署名証明書は、自己署名 と呼ばれるルート CA か、外部 CA で署名することもできます。
IdM CA はルート CA です。
これがデフォルト設定になります。
この設定でサーバーをインストールするには、「統合 DNS を使用したサーバーのインストール」 および 「統合 DNS を使用しないサーバーのインストール」 を参照してください。
外部 CA はルート CA です。
IdM CA は、外部 CA の下位局になります。ただし、IdM ドメインのすべての証明書は、証明書システムインスタンスにより引き続き発行されます。
外部 CA は、Verisign や Thawte などの企業 CA またはサードパーティーの CA です。外部 CA は、ルート CA または下位 CA です。IdM ドメイン内で発行された証明書には、証明書を発行できるドメインなど、外部ルート CA 証明書または中間 CA 証明書が指定する制限が適用される可能性があります。
外部ホストのルート CA を備えたサーバーをインストールするには、「外部 CA をルート CA として使用するサーバーのインストール」 を参照してください。
CA を使用しないサーバー
この設定オプションは、インフラストラクチャー内の制限がサーバーに証明書サービスをインストールできない場合など、非常にまれなケースに適しています。
インストール前に、サードパーティーの認証局からこれらの証明書を要求する必要があります。
  • LDAP サーバー証明書および秘密鍵
  • Apache サーバー証明書および秘密鍵
  • LDAP および Apache のサーバー証明書を発行した CA の完全な CA 証明書チェーン
警告
統合 IdM CA を使用せずに証明書を管理すると、メンテナンスの負担が大きくなります。たとえば、IdM サーバーの Apache Web サーバーおよび LDAP サーバー証明書を手動で管理する必要があります。これには以下が含まれます。
  • 証明書を作成してアップロードする。
  • 証明書の有効期限を監視する。certmonger サービスでは、統合 CA を使用せずに IdM がインストールされている場合には証明書は追跡されない点に注意してください。
  • 有効期限が切れる前に証明書を更新してサービスが停止されないようにする。
統合 CA のないサーバーをインストールするには、「CA なしでのインストール」を参照してください。
注記
CA を使用せずに IdM ドメインをインストールする場合は、後で CA サービスをインストールできます。既存の IdM ドメインに CA をインストールするには、「既存の IdM ドメインへの CA のインストール」 を参照してください。