Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

24.6. IdM CA でユーザー証明書を発行するための証明書プロファイルおよび ACL の使用

ユーザーは、認証局のアクセス制御リスト(CA ACL)で許可される場合に、証明書を要求できます。以下の手順では、「証明書プロファイル」 および 「認証局 ACL ルール」 で別々に説明されている証明書プロファイルおよび CA ACL を使用します。証明書プロファイルおよび CA ACL の使用に関する詳細は、以下のセクションを参照してください。

コマンドラインでの証明書の発行

  1. ユーザー証明書の要求を処理する新規のカスタム証明書プロファイルを作成またはインポートします。以下に例を示します。
    $ ipa certprofile-import certificate_profile --file=certificate_profile.cfg --store=True
    
  2. ユーザーエントリーの証明書の要求を許可するために使用される新しい認証局(CA)ACL を追加します。以下に例を示します。
    $ ipa caacl-add users_certificate_profile --usercat=all
    
  3. カスタム証明書プロファイルを CA ACL に追加します。
    $ ipa caacl-add-profile users_certificate_profile --certprofiles=certificate_profile
  4. ユーザーの証明書要求を生成します。例: OpenSSL の使用:
    $ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=user'
    
  5. Ipa cert-request コマンドを実行して、IdM CA にユーザーの新しい証明書を発行するようにします。
    $ ipa cert-request cert.csr --principal=user --profile-id=certificate_profile
    必要に応じて、--ca sub-CA_name オプションをコマンドに渡して、ルート CA ipa ではなくサブ CA から証明書を要求します。
新たに発行した証明書がユーザーに割り当てられていることを確認するには、ipa user-show コマンドを使用できます。
$ ipa user-show user
  User login: user
  ...
  Certificate: MIICfzCCAWcCAQA...
  ...

Web UI で証明書のユーザーへの発行

  1. ユーザー証明書の要求を処理する新規のカスタム証明書プロファイルを作成またはインポートします。プロファイルのインポートはコマンドラインからのみ可能です。以下に例を示します。
    $ ipa certprofile-import certificate_profile --file=certificate_profile.txt --store=True
    
    証明書プロファイルの詳細は、「証明書プロファイル」 を参照してください。
  2. Web UI の Authentication タブで、CA ACL セクションを開きます。

    図24.11 Web UI での CA ACL ルールの管理

    Web UI での CA ACL ルールの管理
    認証局 (CA) ACL 一覧の上部にある Add をクリックして、ユーザーエントリーの証明書を要求する新しい CA ACL を追加します。
    1. 開いている Add CA ACL ウィンドウで、新規 CA ACL に必要な情報を入力します。

      図24.12 新規 CA ACL の追加

      新規 CA ACL の追加
      次に、Add and Edit をクリックして CA ACL 設定ページに直接移動します。
    2. CA ACL 設定ページで Profiles セクションまでスクロールし、プロファイル一覧の上部にある Add をクリックします。

      図24.13 CA ACL への証明書プロファイルの追加

      CA ACL への証明書プロファイルの追加
    3. プロファイルを選択し、Prospective 列 に移動し、カスタム証明書プロファイルを CA ACL に追加します。

      図24.14 証明書プロファイルの選択

      証明書プロファイルの選択
      次に、Add をクリックします。
    4. Permitted to have certificates issued セクションまでスクロールし、CA ACL をユーザーまたはユーザーグループに関連付けます。
      Add ボタンを使用してユーザーまたはグループを追加するか、Anyone オプションを選択して CA ACL をすべてのユーザーに関連付けることができます。

      図24.15 CA ACL へのユーザーの追加

      CA ACL へのユーザーの追加
    5. Permitted to have certificates issued セクションで、CA ACL を 1 つ以上の CA に関連付けることができます。
      Add ボタンを使用して CA を追加するか、Any CA オプションを選択して CA ACL とすべての CA を関連付けることができます。

      図24.16 CA ACL への CA の追加

      CA ACL への CA の追加
    6. CA ACL 設定ページの上部にある Save をクリックし、CA ACL への変更を確認します。
  3. ユーザーの新しい証明書を要求します。
    1. Identity タブおよび Users サブタブで、証明書が要求されるユーザーを選択します。ユーザーのユーザー名をクリックして、ユーザーエントリー設定ページを開きます。
    2. ユーザー設定ページの上部にある Actions をクリックし、New Certificate をクリックします。

      図24.17 ユーザーの証明書の要求

      ユーザーの証明書の要求
    3. 必要な情報を入力します。

      図24.18 ユーザーの証明書の発行

      ユーザーの証明書の発行
      次に、Issue をクリックします。
これにより、新たに発行した証明書がユーザー設定ページに表示されます。