Language:
Format:

Red Hat Training

A Red Hat training course is available for RHEL 8

第5章 CA サービスの計画

Red Hat Enterprise Linux の Identity Management (IdM) は、さまざまな認証局 (CA) 設定を提供します。以下のセクションでは、さまざまなシナリオを紹介し、ユースケースに最適な設定を選択するのに役に立つアドバイスを提供します。

CA 発行先 DN: 認証局 (CA) 発行先識別名 (DN) は CA の名前です。Identity Management CA インフラストラクチャーではグローバルに一意である必要があり、インストール後に変更することはできません。IdM CA を外部に署名する必要がある場合は、外部 CA の管理者に、IdM CA 発行先識別名の形式を問い合わせる必要がでてくる場合もあります。

5.1. IdM サーバーで利用可能な CA サービス

Identity Management (IdM) サーバーは、統合 IdM 認証局 (CA) を使用、または使用せずにインストールできます。

表5.1 統合 CA を使用した IdM と、CA を使用しない IdM の比較

統合 CA あり CA なし

	統合 CA あり	CA なし
概要:	IdM は、独自の公開鍵インフラストラクチャー (PKI) サービスを CA 署名の証明書と共に使用して、IdM ドメインで証明書を作成して署名します。ルート CA が統合 CA の場合、IdM は自己署名の CA 証明書を使用します。ルート CA が外部 CA の場合、統合 IdM CA は外部 CA の下位局になります。IdM が使用する CA 証明書は外部 CA により署名されますが、IdM ドメインのすべての証明書は、統合証明書システムインスタンスにより発行されます。統合 CA は、ユーザー、ホスト、またはサービスの証明書を発行することもできます。外部 CA は、企業 CA またはサードパーティーの CA です。	IdM は独自の CA を設定しませんが、外部 CA の署名付きホスト証明書を使用します。 CA を使用せずにサーバーをインストールするには、サードパーティーの認証局から以下の証明書を要求する必要があります。 LDAP サーバー証明書 Apache サーバー証明書 PKINIT 証明書 LDAP および Apache のサーバー証明書を発行した CA の完全な CA 証明書チェーン
制限:	統合 CA が外部 CA の下位局になる場合、IdM ドメインで発行された証明書は、以下を含むさまざまな証明書属性用の外部 CA により設定される制限の影響を受ける可能性があります。有効期間 IDM CA またはその下位局が発行する証明書に表示されるサブジェクト名に関する制約 IDM CA 自身が中間 CA 証明書を発行するかどうか、中間証明書チェーンがどのぐらい深くなるかに関する制約	IdM 以外で証明書を管理すると、以下のような多くの追加アクティビティーが発生します。証明書の作成、アップロード、および更新は手動のプロセスです。 `certmonger` サービスは、IPA 証明書 (LDAP サーバー、Apache サーバー、および PKINIT 証明書) を追跡せず、証明書が期限切れになる際に通知がされません。管理者は、外部に発行される証明書に関する通知を手動で設定したり、`certmonger` が証明書を追跡する必要がある場合に証明書の追跡要求を設定したりする必要があります。
最適な条件:	証明書インフラストラクチャーを作成および使用できるようにする環境。	インフラストラクチャーの制限により、サーバーと統合されている証明書サービスをインストールすることができない場合は、非常に稀なケースとなります。

概要:

IdM は、独自の公開鍵インフラストラクチャー (PKI) サービスを CA 署名の証明書 と共に使用して、IdM ドメインで証明書を作成して署名します。

ルート CA が統合 CA の場合、IdM は自己署名の CA 証明書を使用します。
ルート CA が外部 CA の場合、統合 IdM CA は外部 CA の下位局になります。IdM が使用する CA 証明書は外部 CA により署名されますが、IdM ドメインのすべての証明書は、統合証明書システムインスタンスにより発行されます。
統合 CA は、ユーザー、ホスト、またはサービスの証明書を発行することもできます。

外部 CA は、企業 CA またはサードパーティーの CA です。

IdM は独自の CA を設定しませんが、外部 CA の署名付きホスト証明書を使用します。

CA を使用せずにサーバーをインストールするには、サードパーティーの認証局から以下の証明書を要求する必要があります。

LDAP サーバー証明書
Apache サーバー証明書
PKINIT 証明書
LDAP および Apache のサーバー証明書を発行した CA の完全な CA 証明書チェーン

制限:

統合 CA が外部 CA の下位局になる場合、IdM ドメインで発行された証明書は、以下を含むさまざまな証明書属性用の外部 CA により設定される制限の影響を受ける可能性があります。

有効期間
IDM CA またはその下位局が発行する証明書に表示されるサブジェクト名に関する制約
IDM CA 自身が中間 CA 証明書を発行するかどうか、中間証明書チェーンがどのぐらい深くなるかに関する制約

IdM 以外で証明書を管理すると、以下のような多くの追加アクティビティーが発生します。

証明書の作成、アップロード、および更新は手動のプロセスです。
certmonger サービスは、IPA 証明書 (LDAP サーバー、Apache サーバー、および PKINIT 証明書) を追跡せず、証明書が期限切れになる際に通知がされません。管理者は、外部に発行される証明書に関する通知を手動で設定したり、certmonger が証明書を追跡する必要がある場合に証明書の追跡要求を設定したりする必要があります。

最適な条件:

証明書インフラストラクチャーを作成および使用できるようにする環境。

インフラストラクチャーの制限により、サーバーと統合されている証明書サービスをインストールすることができない場合は、非常に稀なケースとなります。

注記

自己署名の CA から外部署名の CA への切り替え (またはその逆)、もしくは IdM CA 証明書を発行する外部 CA の変更は、インストール後も可能になります。CA を使用せずにインストールしてから、統合 CA を設定することもできます。詳細は、Installing an IdM server: With integrated DNS, without a CA を参照してください。

関連情報

IdM が内部で使用する証明書について

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

第5章 CA サービスの計画

5.1. IdM サーバーで利用可能な CA サービス

Language and Page Formatting Options

Red Hat Training

第5章 CA サービスの計画

5.1. IdM サーバーで利用可能な CA サービス