Red Hat Training
A Red Hat training course is available for RHEL 8
第58章 Identity Management の公開鍵証明書
X.509 公開鍵証明書は、Identity Management (IdM)のユーザー、ホスト、およびサービスを認証するために使用されます。X.509 証明書は、認証のほかに、デジタル署名と暗号化も可能にし、プライバシー、完全性、否認不可を実現します。
証明書には、以下の情報が含まれます。
- 証明書が認証する発行先
- 証明書を署名した CA の発行元
- 証明書の有効性の開始日と終了日
- 証明書の有効な用途
- 発行先の公開鍵
公開鍵により暗号化したメッセージは、対応した秘密鍵により複号できます。証明書および、勝目所に含まれる公開鍵は、公開できますが、ユーザー、ホスト、またはサービスは、対応の秘密鍵を秘密にしておく必要があります。
58.1. IdM の認証局
認証局は信頼の階層で機能します。内部認証局 (CA) がある IdM 環境では、CA が署名している正しい証明書を、すべての IdM ホスト、ユーザー、およびサービスが信頼します。このルート CA とは別に、IdM は、ルート CA から証明書に署名する権限を付与されたサブ CA にも対応します。多くの場合、このようなサブ CA が署名できる証明書は、VPN 証明書 など、特定の種類の証明書です。最後に、IdM は外部 CA の使用に対応します。以下 の表は、IdM の各種 CA の用途に関する詳細を紹介します。
表58.1 IdM での統合および外部 CA の用途の比較
| CA の名前 | 説明 | 用途 | 関連リンク |
|---|---|---|---|
|
| Dogtag アップストリームプロジェクトをベースとする統合 CA | 統合 CA は、ユーザー、ホスト、およびサービスの証明書の作成、取り消し、および発行が可能です。 | |
| IdM サブ CA |
|
IdM サブ CA は、 | |
| 外部 CA | 外部 CA は、統合 IdM CA またはそのサブ CA 以外の CA です。 | IdM ツールを使用して、これらの CA が発行する証明書をユーザー、サービス、またはホストに対して追加し、削除します。 |
証明書の観点からは、自己署名 IdM CA と、外部署名の間に違いがありません。
CA のロールの目的は以下のとおりです。
- デジタル証明書を発行する。
- 証明書を署名して、証明書に名前のある発行先が公開鍵を所有することを認定する。発行先は、ユーザー、ホスト、またはサービスのいずれかです。
- 証明書をキャンセルして、証明書失効リスト (CRL) および Online Certificate Status Protocol (OCSP) で失効ステータスを提供できる。
関連情報
- CA サービスの計画 を参照してください。
