Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

22.3.3. 認証局が署名する証明書を手動で管理

認証局が署名する証明書を Identity Management 以外のメカニズムで管理するには、手動での設定が必要になります。

管理システムの証明書に署名する認証局の証明書を、すべてのクライアントが信頼するようにする必要があります。

  • 認証局がデフォルトで信頼されている場合は、信頼させるのに必要な手順はありません。
  • 認証局がデフォルトで信頼されていない場合は、クライアントシステムと管理システムで証明書をインポートする必要があります。

    1. root で以下のコマンドを入力して、証明書をトラストストアにコピーします。

      cp /path/to/ca.crt /etc/pki/ca-trust/source/anchors/ca.crt
    2. トラストストアを更新するには、root で以下のコマンドを実行します。

      update-ca-trust extract

管理システムで以下のステップを実行します。

  1. 新たな SSL 設定ファイル /etc/Pegasus/ssl.cnf を作成し、証明書に関する情報を保管します。このファイルのコンテンツは、以下の例のようにする必要があります。

    [ req ]
    distinguished_name   = req_distinguished_name
    prompt         = no
    [ req_distinguished_name ]
    C           = US
    ST           = Massachusetts
    L           = Westford
    O           = Fedora
    OU           = Fedora OpenLMI
    CN           = hostname

    hostname を、管理システムの完全修飾ドメイン名に置き換えます。

  2. root で以下のコマンドを実行して、管理システムで秘密鍵を生成します。

    openssl genrsa -out /etc/Pegasus/file.pem 1024
  3. root で以下のコマンドを実行し、証明書の署名要求 (CSR) を生成します。

    openssl req -config /etc/Pegasus/ssl.cnf -new -key /etc/Pegasus/file.pem -out /etc/Pegasus/server.csr
  4. /etc/Pegasus/server.csr を認証局に送信して署名します。ファイル提出に関する詳細な手順は、個々の認証局によって異なります。
  5. 認証局から署名済み証明書を受け取ったら、/etc/Pegasus/server.pem として保存します。
  6. root で以下のコマンドを実行し、信頼できる認証局の証明書を Pegasus トラストストアにコピーして、Pegasus が自らの証明書を信頼できるようにします。

    cp /path/to/ca.crt /etc/Pegasus/client.pem

上記の手順をすべて完了したら、署名の認証局を信頼するクライアントが、管理サーバーの CIMOM と正常に通信できるようなります。

重要

Identity Management ソリューションとは異なり、証明書の有効期限が切れて更新が必要となった場合には、上記の手動の手順を再度実行する必要があります。証明書は有効期限が切れる前に更新することが推奨されます。