Show Table of Contents
24.6. IdM CA での証明書プロファイルおよび ACL を使用したユーザー証明書の発行
証明局のアクセス制御リスト (CA ACL) で許可されている場合は、ユーザーは自分自身のための証明書をリクエストすることができます。以下の手順では、証明書プロファイルと CA ACL を使用します。これらはそれぞれ、「証明書のプロファイル」 と 「証明局の ACL ルール」 で説明されているので、詳細はこれらのセクションを参照してください。
コマンドラインからのユーザーへの証明書発行
- ユーザー証明書のリクエストを処理する新規のカスタム証明書プロファイルを作成またはインポートします。例を示します。
$ ipa certprofile-import certificate_profile --file=certificate_profile.cfg --store=True
- ユーザーエントリーの証明書のリクエストを許可するために使用される新規の証明局 (CA) ACL を追加します。
$ ipa caacl-add users_certificate_profile --usercat=all
- カスタム証明書プロファイルを CA ACL に追加します。
$ ipa caacl-add-profile users_certificate_profile --certprofiles=certificate_profile
- ユーザー用の証明書リクエストを生成します。以下の例では、OpenSSL を使用します。
$ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=user'
ipa cert-requestコマンドを実行して、IdM CA がユーザー用の新規証明書を発行するようにします。$ ipa cert-request cert.csr --principal=user --profile-id=certificate_profile
--ca sub-CA_nameオプションを渡すと、root CAipaではなく、sub-CA からの証明書をリクエストすることもできます。
発行された証明書が当該ユーザーに割り当てられていることを確認するには、
ipa user-show コマンドを実行します。
$ ipa user-show user
User login: user
...
Certificate: MIICfzCCAWcCAQA...
...Web UI でのユーザーへの証明書発行
- ユーザー証明書のリクエストを処理する新規のカスタム証明書プロファイルを作成またはインポートします。プロファイルのインポートは、コマンドラインからしかできません。例を示します。
$ ipa certprofile-import certificate_profile --file=certificate_profile.txt --store=True
証明書プロファイルについての詳細は、「証明書のプロファイル」 を参照してください。 - Web UI の Authentication タブで、CA ACLs セクションを開きます。
図24.11 Web UI での CA ACL ルールの管理
CA ACL リスト上部にある をクリックして、ユーザーエントリー用の証明書リクエストを許可する新規 CA ACL を追加します。- Add CA ACL ウィンドウが開くので、新規 CA ACL についての必要な情報を入力します。
図24.12 新規 CA ACL の追加
をクリックして、CA ACL の設定ページに移動します。 - CA ACL 設定ページで Profiles セクションまでスクロールし、プロファイル一覧上部にある をクリックします。
図24.13 CA ACL への証明書プロファイルの追加
- プロファイルを選択して Prospective コラムに移動し、カスタム証明書プロファイルを CA ACL に追加します。
図24.14 証明書プロファイルの選択
をクリックします。 - Permitted to have certificates issued セクションまでスクロールします。CA ACL をユーザーもしくはユーザーグループに関連付けます。ボタンでユーザーもしくはグループを追加するか、Anyone オプションを選択して CA ACL を全ユーザーに関連付けます。
図24.15 ユーザーの CA ACL への追加
- Permitted to have certificates issued セクションでは、CA ACL を 1 つ以上の CA に関連付けることができます。ボタンで CA を追加するか、Any CA オプションを選択して CA ACL を全 CA に関連付けることができます。
図24.16 CA を CA ACL に追加する
- CA ACL 設定ページ上部にある をクリックして、CA ACL の変更を保存します。
- ユーザー用の新規証明書をリクエストします。
- Identity タブにある Users サブタブで、リクエストする証明書を必要とするユーザーを選択します。ユーザー名をクリックして、ユーザーエントリーの選択ページを開きます。
- 設定ページ上部にある をクリックしてから New Certificate をクリックします。
図24.17 ユーザー用証明書のリクエスト
- 必要な情報を入力します。
図24.18 ユーザー用証明書の発行
最後に をクリックします。
これで新規に発行された証明書がユーザーの設定ページで見えるようになります。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.