5.2. 証明書プロファイルの作成

S/MIME 証明書を要求するプロファイル設定ファイルを作成して、コマンドラインから証明書プロファイルを作成するには、次の手順に従います。

手順

  1. 既存のデフォルトプロファイルをコピーしてカスタムプロファイルを作成します。 

    $ ipa certprofile-show --out smime.cfg caIPAserviceCert
------------------------------------------------
Profile configuration stored in file 'smime.cfg'
------------------------------------------------
  Profile ID: caIPAserviceCert
  Profile description: Standard profile for network services
  Store issued certificates: TRUE

  2. テキストエディターで新たに作成されたプロファイル設定ファイルを開きます。 

    $ vi  smime.cfg

  3. プロファイル ID は、smime など、プロファイルの用途を反映する名前に変更します。

    注記

    新規作成されたプロファイルをインポートする場合は、profileId フィールドがある場合には、profiledId はコマンドラインで指定した ID と一致する必要があります。

  4. Extended Key Usage 設定を更新します。Extended Key Usage のデフォルト拡張設定は、TLS サーバーとクライアント認証向けです。たとえば、S/MIME の場合に、電子メール保護のために Extended Key Usage を設定する必要があります。 

    policyset.serverCertSet.7.default.params.exKeyUsageOIDs=1.3.6.1.5.5.7.3.4

  5. 新しいプロファイルをインポートします。 

    $ ipa certprofile-import smime --file smime.cfg \
  --desc "S/MIME certificates" --store TRUE

------------------------
Imported profile "smime"
------------------------
  Profile ID: smime
  Profile description: S/MIME certificates
  Store issued certificates: TRUE

検証手順

  • 新しい証明書プロファイルがインポートされたことを確認します。 

    $ ipa certprofile-find

------------------
4 profiles matched
------------------
  Profile ID: caIPAserviceCert
  Profile description: Standard profile for network services
  Store issued certificates: TRUE

  Profile ID: IECUserRoles
  Profile description: User profile that includes IECUserRoles extension from request
  Store issued certificates: TRUE

  Profile ID: KDCs_PKINIT_Certs
  Profile description: Profile for PKINIT support by KDCs
  Store issued certificates: TRUE

  Profile ID: smime
  Profile description: S/MIME certificates
  Store issued certificates: TRUE
----------------------------
Number of entries returned 4
----------------------------

関連情報