Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第12章 certmonger を使った作業

マシンの認証管理には、マシン証明書の管理が含まれます。certmonger サービスは、アプリケーションの証明書ライフサイクルを管理し、適切に設定している場合は、認証局(CA)と連携して証明書を更新できます。
certmonger デーモンとそのコマンドラインクライアントを使用すると、公開鍵と秘密鍵のペア生成や証明書リクエストの作成、CA に対する署名のリクエスト提出といった処理を簡素化することができます。certmonger デーモンは、証明書の有効期限を監視し、期限が切れる証明書を更新することができます。certmonger が監視する証明書はファイルで追跡しており、このファイルは設定可能なディレクトリー内に保存します。デフォルトの場所は /var/lib/certmonger/requests です。
注記
certmonger デーモンは証明書を取り消すことはできません。証明書は関連する認証局によってのみ取り消され、証明書を無効にし、証明書失効リストを更新する必要があります。

12.1. certmonger および認証局

デフォルトでは、certmonger は、証明書が使用する認証局ソースが異なる 3 種類の証明書を自動的に取得できます。
  • 自己署名証明書
    各証明書は証明書自身のキーを使用して署名されるため、自己署名の証明書の生成には CA は必要ありません。自己署名証明書を検証するソフトウェアは、証明書を直接信頼するように指示する必要があります。
    自己署名証明書を取得するには、selfsign-getcert コマンドを実行します。
  • Red Hat Enterprise Linux IdM の一環として Dogtag Certificate System CA からの証明書
    IdM サーバーを使用して証明書を取得するには、ipa-getcert コマンドを実行します。
  • ローカル CA が署名した証明書は、システムに存在する。
    ローカル署名によって署名された証明書を検証するソフトウェアは、このローカル署名から証明書を信頼するように指示される必要があります。
    ローカルで署名した証明書を取得するには、local-getcert コマンドを実行します。
他の CA も certmonger を使用して証明書を管理できますが、特別な CA ヘルパー を作成して certmonger にサポートを追加する必要があります。CA ヘルパーの作成方法は、certmonger プロジェクトのドキュメント を参照してください https://pagure.io/certmonger/blob/master/f/doc/submit.txt