24.6. IdM CA での証明書プロファイルおよび ACL を使用したユーザー証明書の発行

証明局のアクセス制御リスト (CA ACL) で許可されている場合は、ユーザーは自分自身のための証明書をリクエストすることができます。以下の手順では、証明書プロファイルと CA ACL を使用します。これらはそれぞれ、「証明書のプロファイル」「証明局の ACL ルール」 で説明されているので、詳細はこれらのセクションを参照してください。

コマンドラインからのユーザーへの証明書発行

  1. ユーザー証明書のリクエストを処理する新規のカスタム証明書プロファイルを作成またはインポートします。例を示します。
    $ ipa certprofile-import certificate_profile --file=certificate_profile.cfg --store=True
  2. ユーザーエントリーの証明書のリクエストを許可するために使用される新規の証明局 (CA) ACL を追加します。
    $ ipa caacl-add users_certificate_profile --usercat=all
  3. カスタム証明書プロファイルを CA ACL に追加します。
    $ ipa caacl-add-profile users_certificate_profile --certprofiles=certificate_profile
  4. ユーザー用の証明書リクエストを生成します。以下の例では、OpenSSL を使用します。
    $ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=user'
  5. ipa cert-request コマンドを実行して、IdM CA がユーザー用の新規証明書を発行するようにします。
    $ ipa cert-request cert.csr --principal=user --profile-id=certificate_profile
    --ca sub-CA_name オプションを渡すと、root CA ipa ではなく、sub-CA からの証明書をリクエストすることもできます。
発行された証明書が当該ユーザーに割り当てられていることを確認するには、ipa user-show コマンドを実行します。
$ ipa user-show user
  User login: user
  ...
  Certificate: MIICfzCCAWcCAQA...
  ...

Web UI でのユーザーへの証明書発行

  1. ユーザー証明書のリクエストを処理する新規のカスタム証明書プロファイルを作成またはインポートします。プロファイルのインポートは、コマンドラインからしかできません。例を示します。
    $ ipa certprofile-import certificate_profile --file=certificate_profile.txt --store=True
    証明書プロファイルについての詳細は、「証明書のプロファイル」 を参照してください。
  2. Web UI の Authentication タブで、CA ACLs セクションを開きます。
    Web UI での CA ACL ルールの管理

    図24.11 Web UI での CA ACL ルールの管理

    CA ACL リスト上部にある Add をクリックして、ユーザーエントリー用の証明書リクエストを許可する新規 CA ACL を追加します。
    1. Add CA ACL ウィンドウが開くので、新規 CA ACL についての必要な情報を入力します。
      新規 CA ACL の追加

      図24.12 新規 CA ACL の追加

      Add and Edit をクリックして、CA ACL の設定ページに移動します。
    2. CA ACL 設定ページで Profiles セクションまでスクロールし、プロファイル一覧上部にある Add をクリックします。
      CA ACL への証明書プロファイルの追加

      図24.13 CA ACL への証明書プロファイルの追加

    3. プロファイルを選択して Prospective コラムに移動し、カスタム証明書プロファイルを CA ACL に追加します。
      証明書プロファイルの選択

      図24.14 証明書プロファイルの選択

      Add をクリックします。
    4. Permitted to have certificates issued セクションまでスクロールします。CA ACL をユーザーもしくはユーザーグループに関連付けます。
      Add ボタンでユーザーもしくはグループを追加するか、Anyone オプションを選択して CA ACL を全ユーザーに関連付けます。
      ユーザーの CA ACL への追加

      図24.15 ユーザーの CA ACL への追加

    5. Permitted to have certificates issued セクションでは、CA ACL を 1 つ以上の CA に関連付けることができます。
      Add ボタンで CA を追加するか、Any CA オプションを選択して CA ACL を全 CA に関連付けることができます。
      CA を CA ACL に追加する

      図24.16 CA を CA ACL に追加する

    6. CA ACL 設定ページ上部にある Save をクリックして、CA ACL の変更を保存します。
  3. ユーザー用の新規証明書をリクエストします。
    1. Identity タブにある Users サブタブで、リクエストする証明書を必要とするユーザーを選択します。ユーザー名をクリックして、ユーザーエントリーの選択ページを開きます。
    2. 設定ページ上部にある Actionsをクリックしてから New Certificate をクリックします。
      ユーザー用証明書のリクエスト

      図24.17 ユーザー用証明書のリクエスト

    3. 必要な情報を入力します。
      ユーザー用証明書の発行

      図24.18 ユーザー用証明書の発行

      最後に Issue をクリックします。
これで新規に発行された証明書がユーザーの設定ページで見えるようになります。