Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

12.2. certmonger で自己署名証明書の要求

certmonger で証明書を要求するには、getcert 要求ユーティリティーを使用します
証明書と鍵は、証明書のニックネームで識別される、.pem 拡張子または NSS データベースでローカルテキストファイルにローカルに保存されます。証明書をリクエストする際には、リクエストで証明書の保存場所とニックネームを特定します。以下に例を示します。
[root@server ~]# selfsign-getcert request -d /etc/pki/nssdb -n Server-Cert
/etc/pki/nssdb ファイルはグローバル NSS データベースで、Server-Cert はこの証明書のニックネームです。証明書のニックネームはこのデータベース内で一意のものである必要があります。
証明書を生成するためのコマンドで使用できるオプションは、要求している証明書の種類や、最終証明書に必要な設定と、その他の設定によって異なります。
  • -r は、キーペアがすでに存在する場合に有効期限が近い場合に、証明書を自動的に更新します。このオプションはデフォルトで使用されます。
  • -f は、証明書を指定のファイルに保存します。
  • -k は、鍵を特定ファイルに保存するか、キーファイルが存在する場合は、ファイル内の鍵を使用します。
  • -k は、証明書を使用するサービスの Kerberos プリンシパル名を指定します。IdM サーバーから証明書の要求時に -K が必要であり、自己署名証明書またはローカル署名の証明書を要求する場合はオプションになります。
  • -n(サブジェクト名を指定します )名を指定します。
  • -d は、証明書に含まれる DNS ドメイン名を subjectAltName 値として要求します。
  • -u は、拡張キー使用フラグを設定します。
  • -a は、証明書の subjectAltName 値として証明書に追加する IP アドレスを要求します
  • -I は、タスクの名前を設定します。certmonger は、この名前を使用してストレージの場所と要求オプションの組み合わせを参照します。また、getcert list コマンドの出力にも表示されます。このオプションを指定しないと、certmonger はタスクに自動生成された名前を割り当てます。
IdM 内の実際の CA は、CA の独自のポリシーに従って -K、-N、-D、-U、および -A オプションを使用して署名要求に指定するすべてのものを無視できます。たとえば、IdM では、-K-N がローカルホスト名に同意する必要があります。一方で、selfsign-getcert コマンドおよび local-getcert コマンドを使用して生成される証明書は、ポリシーを強制しないため、指定するオプションに同意します。

例12.1 サービスにおける certmonger の使用

[root@server ~]# selfsign-getcert request -f /etc/httpd/conf/ssl.crt/server.crt -k /etc/httpd/conf/ssl.key/server.key -N CN=`hostname --fqdn` -D `hostname` -U id-kp-serverAuth

このページには機械翻訳が使用されている場合があります (詳細はこちら)。