Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

24.6. 証明書プロファイルおよび ACL を使用した IdM CA でユーザー証明書を発行

ユーザーは、認証局のアクセス制御リスト(CA ACL)が許可する際に、証明書を要求できます。以下の手順では、「証明書プロファイル」 および 「認証局 ACL ルール」 で個別に説明されている証明書プロファイルおよび CA ACL を使用します。証明書プロファイルおよび CA ACL の使用に関する詳細は、以下のセクションを参照してください。

コマンドラインでのユーザーとして証明書の発行

  1. ユーザー証明書の要求を処理する新規のカスタム証明書プロファイルを作成またはインポートします。たとえば、以下のようになります。
    $ ipa certprofile-import certificate_profile --file=certificate_profile.cfg --store=True
    
  2. ユーザーエントリーの証明書の要求を許可するために使用される新しい認証局(CA)ACL を追加します。たとえば、以下のようになります。
    $ ipa caacl-add users_certificate_profile --usercat=all
    
  3. カスタム証明書プロファイルを CA ACL に追加します。
    $ ipa caacl-add-profile users_certificate_profile --certprofiles=certificate_profile
  4. ユーザーの証明書要求を生成します。例: OpenSSL の使用:
    $ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=user'
    
  5. ipa cert-request コマンドを実行して、IdM CA がユーザーの新しい証明書を発行します。
    $ ipa cert-request cert.csr --principal=user --profile-id=certificate_profile
    オプションで --ca sub-CA_name オプションをコマンドに渡して、ルート CA ipa ではなくサブ CA から証明書を要求します。
新たに発行した証明書がユーザーに割り当てられていることを確認するには、ipa user-show コマンドを使用できます。
$ ipa user-show user
  User login: user
  ...
  Certificate: MIICfzCCAWcCAQA...
  ...

Web UI でのユーザーへの証明書の発行

  1. ユーザー証明書の要求を処理する新規のカスタム証明書プロファイルを作成またはインポートします。プロファイルのインポートはコマンドラインからのみ可能です。以下に例を示します。
    $ ipa certprofile-import certificate_profile --file=certificate_profile.txt --store=True
    
    証明書プロファイルの詳細は、「証明書プロファイル」 を参照してください。
  2. Web UI で、認証 タブで CA ACL セクションを開きます。

    図24.11 Web UI での CA ACL ルール管理

    Web UI での CA ACL ルール管理
    認証局(CA)ACL の一覧の上部にある Add をクリックして、ユーザーエントリーの証明書を要求できるようにする新しい CA ACL を追加します。
    1. 開かれる Add CA ACL ウィンドウで、新しい CA ACL に関する必要な情報を入力します。

      図24.12 新しい CA ACL の追加

      新しい CA ACL の追加
      次に、Add and Edit をクリックして CA ACL 設定ページに直接移動します。
    2. CA ACL 設定ページにある Profiles セクションまでスクロールし、プロファイル一覧の上部にある Add をクリックします。

      図24.13 CA ACL への証明書プロファイルの追加

      CA ACL への証明書プロファイルの追加
    3. プロファイルを選択し、Prospective 列 に移動して、カスタムの証明書プロファイルを CA ACL に追加します。

      図24.14 証明書プロファイルの選択

      証明書プロファイルの選択
      次に、Add をクリックします。
    4. CA ACL をユーザーまたはユーザーグループに関連付けるため、Permitted to have certificates issued セクションまでスクロールします。
      Add ボタンを使用してユーザーまたはグループを追加するか、または CA ACL をすべてのユーザーに関連付ける オプションを選択します

      図24.15 CA ACL へのユーザーの追加

      CA ACL へのユーザーの追加
    5. Permitted to have certificates issued セクションで、CA ACL を 1 つ以上の CA に関連付けることができます。
      Add ボタンを使用して CA を追加 するか、または CA ACL をすべての CA に関連付けるための任意の CA オプションを選択します。

      図24.16 CA ACL への CA の追加

      CA ACL への CA の追加
    6. CA ACL 設定ページの上部で、Save をクリックして CA ACL への変更を確認します。
  3. ユーザーの新しい証明書を要求します。
    1. Identity タブと Users サブタブで、証明書を要求するユーザーを選択します。ユーザーのユーザー名をクリックして、ユーザーエントリー設定ページを開きます。
    2. ユーザー設定ページの上部にある Actions をクリックしてから、New Certificate をクリックします。

      図24.17 ユーザーの証明書の要求

      ユーザーの証明書の要求
    3. 必要な情報を入力します。

      図24.18 ユーザーの証明書の発行

      ユーザーの証明書の発行
      次に、Issue をクリックします。
このコマンドを実行すると、ユーザー設定ページに新たに発行した証明書が表示されます。