Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

22.3.2. Identity Management を使用した、認証局が署名した証明書の管理 (推奨)

Red Hat Enterprise Linux の Identity Management 機能は、ドメインに参加したシステムの SSL 証明書管理を簡素化するドメインコントローラーを提供します。Identity Management サーバーは、埋め込み認証局を提供します。クライアントシステムおよび管理システムをドメインに参加させる方法は、『Red Hat Enterprise Linux 7 Linux ドメイン ID、認証、およびポリシーガイド』または FreeIPA のドキュメントを参照してください。

管理システムでは、Identity Management への登録が必須になります。クライアントシステムでは、登録はオプションになります。

管理システムでは、以下の手順が必要です。

  1. Red Hat Enterprise Linux 7 Linux ドメイン ID、認証、およびポリシーガイド で説明されているように、ipa-client パッケージをインストールして、システムを Identity Management に登録します。
  2. root で以下のコマンドを入力して、Identity Management の署名した証明書をトラストストアにコピーします。

    cp /etc/ipa/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt
  3. トラストストアを更新するには、root で以下のコマンドを実行します。

    update-ca-trust extract
  4. 権限のあるドメインユーザーとして以下のコマンドを実行して、Pegasus をサービスとして Identity Management ドメインに登録します。

    ipa service-add CIMOM/hostname

    hostname を管理システムのホスト名に置き換えます。

    コマンドは、Identity Management ドメイン内のシステムで ipa-admintools パッケージがインストールされているものから実行できます。Identity Management にサービスエントリーが作成され、これを署名済み SSL 証明書の生成に使用できるようになります。

  5. /etc/Pegasus/ ディレクトリーにある PEM ファイルのバックアップを作成します(推奨)。
  6. root で以下のコマンドを実行して、署名済み証明書を取得します。

    ipa-getcert request -f /etc/Pegasus/server.pem -k /etc/Pegasus/file.pem -N CN=hostname -K CIMOM/hostname

    hostname を管理システムのホスト名に置き換えます。

    これで証明書と鍵ファイルが正常な場所に保存されます。ipa-client-install スクリプトが管理システムにインストールする certmonger デーモンにより、証明書が必要に応じて最新に保たれ、更新されます。

    詳細情報は、Red Hat Enterprise Linux 7 Linux ドメイン ID、認証、およびポリシーガイドを参照してください。

クライアントシステムを登録して、トラストストアをアップデートするには、以下のステップに従います。

  1. Red Hat Enterprise Linux 7 Linux ドメイン ID、認証、およびポリシーガイド で説明されているように、ipa-client パッケージをインストールして、システムを Identity Management に登録します。
  2. root で以下のコマンドを入力して、Identity Management の署名した証明書をトラストストアにコピーします。

    cp /etc/ipa/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt
  3. トラストストアを更新するには、root で以下のコマンドを実行します。

    update-ca-trust extract

クライアントシステムを Identity Management に登録しない場合は、以下の手順に従ってトラストストアを更新します。

  1. rootとして、同一の Identity Management ドメインに参加しているその他のシステムから、安全に /etc/ipa/ca.crt ファイルをトラストストア /etc/pki/ca-trust/source/anchors/ ディレクトリーにコピーします。
  2. トラストストアを更新するには、root で以下のコマンドを実行します。

    update-ca-trust extract