Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

12.3. SCEP での CA 署名された証明書の要求

Simple Certificate Enrollment Protocol(SCEP)は、CA を使用した証明書管理のプロセスを自動化し、簡素化します。クライアント要求を許可し、CA の SCEP サービスから直接、HTTP 経由で証明書を取得できます。このプロセスは、通常は限られた時間にのみ有効な 1 回限り PIN で保護されます。
以下の例では、SCEP CA 設定を certmonger に追加し、新しい証明書を要求し、ローカルの NSS データベースに追加します。
  1. CA 設定を certmonger に追加します。
    [root@server ~]# getcert add-scep-ca -c CA_Name -u SCEP_URL
    • -c: CA 設定の必須ニックネーム。同じ値を後で他の getcert コマンドに渡すこともできます。
    • -u: サーバーの SCEP インターフェースへの URL。
    • HTTPS URL を使用する場合は必須パラメーター:
      - r CA_Filename: HTTPS 暗号化に使用される SCEP サーバーの CA 証明書の PEM 形式のコピーの場所
  2. CA 設定が正常に追加されたことを確認します。
    [root@server ~]# getcert list-cas -c CA_Name
    CA 'CA_Name':
           is-default: no
           ca-type: EXTERNAL
           helper-location: /usr/libexec/certmonger/scep-submit -u http://SCEP_server_enrollment_interface_URL
           SCEP CA certificate thumbprint (MD5): A67C2D4B 771AC186 FCCA654A 5E55AAF7
           SCEP CA certificate thumbprint (SHA1): FBFF096C 6455E8E9 BD55F4A5 5787C43F 1F512279
    CA 証明書のサムプリントが SCEP で取得され、コマンドの出力に表示される場合に、CA 設定が正常に追加されました。暗号化されていない HTTP でサーバーにアクセスする場合は、サムプリントを SCEP サーバーで表示されるものに手動で比較し、Mand-in-the-middle 攻撃を防ぎます。
  3. CA から証明書を要求します。
    [root@server ~]# getcert request -I Task_Name -c CA_Name -d /etc/pki/nssdb -n Certificate_Name -N cn="Subject Name" -L one-time_PIN
    • -I: タスクの名前。同じ値を後で getcert list コマンドに渡すこともできます
    • -c: 要求を送信する CA 設定。
    • -d: 証明書およびキーを格納する NSS データベースを使用するディレクトリー。
    • -n: NSS データベースで使用される証明書のNickname
    • -N: CSR のサブジェクト名。
    • - l : CA が発行した時間による 1 回限りの PIN
  4. リクエストの送信直後に、証明書が発行され、ローカルデータベースに正しく保存されていることを確認できます。
    [root@server ~]# getcert list -I TaskName
    	Request ID 'Task_Name':
            status: MONITORING
            stuck: no
            key pair storage: type=NSSDB,location='/etc/pki/nssdb',nickname='TestCert',token='NSS Certificate DB'
            certificate: type=NSSDB,location='/etc/pki/nssdb',nickname='TestCert',token='NSS Certificate DB'
            signing request thumbprint (MD5): 503A8EDD DE2BE17E 5BAA3A57 D68C9C1B
            signing request thumbprint (SHA1): B411ECE4 D45B883A 75A6F14D 7E3037F1 D53625F4
            CA: AD-Name
            issuer: CN=windows-CA,DC=ad,DC=example,DC=com
            subject: CN=Test Certificate
            expires: 2018-05-06 10:28:06 UTC
            key usage: digitalSignature,keyEncipherment
            eku: iso.org.dod.internet.security.mechanisms.8.2.2
            certificate template/profile: IPSECIntermediateOffline
            pre-save command:
            post-save command:
            track: yes
    	auto-renew: yes
    ステータス MONITORING は、発行された証明書を正常に取得します。man ページの getcert-list(1) は、他の可能な状態とその意味を一覧表示します。