第12章 certmonger を使った作業

マシンの認証管理には、マシン証明書の管理が含まれます。certmonger サービスはアプリケーションの証明書ライフサイクルを管理し、正常に設定されていれば、認証局 (CA) と共に証明書を更新できます。
certmonger デーモンとそのコマンドラインクライアントを使うと、公開鍵と秘密鍵のペア生成や証明書リクエストの作成、CA に対する署名のリクエスト提出といった処理を簡素化することができます。certmonger デーモンは証明書の有効期限を監視し、期限が切れそうになった証明書を更新することができます。certmonger が監視する証明書はファイルで追跡しており、このファイルは設定可能なディレクトリー内に保存します。デフォルトの場所は、/var/lib/certmonger/requests になります。

注記

certmonger デーモンは、証明書を失効できません。証明書は、関連する認証局しか取り消すことができません。認証局により、証明書を無効にし、その証明書失効リストを更新する必要があります。

12.1. certmonger と認証局

certmonger はデフォルトで、以下の 3 種類の証明書を自動的に取得することができます。これらは、証明書が用いるソースによって異なります。
  • 自己署名証明書
    自己署名証明書は証明書自体の鍵を使って署名されるので、この生成には CA は関わりません。自己署名証明書を確認するソフトウェアには、その確認で証明書を直接信頼するよう指示する必要があります。
    自己署名証明書を取得するには、selfsign-getcert コマンドを実行します。
  • Red Hat Enterprise Linux IdM の一部としての Dogtag Certificate System CA からの証明書
    IdM サーバーを使用して証明書を取得するには、ipa-getcert コマンドを実行します。
  • システム上にあるローカルの CA が署名する証明書
    ローカル署名の証明書を確認するソフトウェアには、その確認でこのローカル署名者からの証明書を信頼するよう指示する必要があります。
    ローカル署名の証明書を取得するには、local-getcert コマンドを実行します。
他の証明局 (CA) も certmonger を使用して証明書を管理できますが、特別な CA ヘルパー を作成して、certmonger にサポートを追加する必要があります。CA ヘルパーの作成に関する詳細情報は、certmonger プロジェクトのドキュメンテーションを https://pagure.io/certmonger/blob/master/f/doc/submit.txt で参照してください。