Red Hat Training
A Red Hat training course is available for Red Hat Satellite
3.2.2. RHN SSL Maintenance Tool のオプション
RHN SSL Maintenance Tool では認証局の SSL キーペアの生成やサーバーの SSL 証明書とキーの管理に過剰なコマンドラインオプションが提供されています。 基本的には 3 種類のコマンドラインオプションのヘルプ表示が提供されています。
rhn-ssl-tool --help (全般)、 rhn-ssl-tool --gen-ca --help (認証局)、 rhn-ssl-tool --gen-server --help (Web サーバー) の 3種類です。 rhn-ssl-tool の man ページでも詳しい説明が記載されています man rhn-ssl-tool)。
以下に、 CA SSL キーセットの生成作業に関するオプションと Web サーバー SSL キーセットの生成作業に関するオプションを 2 つの表に分けて説明します。
このオプションセットには
--gen-ca の引数を先頭に付ける必要があります。
表3.1 SSL 認証局の オプション (rhn-ssl-tool --gen-ca --help)
| オプション | 説明 |
|---|---|
--gen-ca | 認証局 (CA) のキーペアとパブリック RPM を生成します。 表内の別のオプションとあわせて発行する必要があります。 |
-h, --help | 認証局の生成および管理に固有の基本オプション一覧が記載されたヘルプ画面を表示します。 |
-f, --force | CA プライベートキーおよびパブリック証明書のいずれかまたは両方を強制的に作成します。 |
-p=, --password=PASSWORD | CA パスワードです。 指定しないと入力が求められます。 安全な方法で記録を残してください。 |
-d=, --dir=BUILD_DIRECTORY | ほとんどのコマンドに必修です。 証明書と RPM が作成されるディレクトリです。 デフォルトは ./ssl-build です。 |
--ca-key=FILENAME | CA プライベートキーのファイル名です。 デフォルトは RHN-ORG-PRIVATE-SSL-KEY です。 |
--ca-cert=FILENAME | CA パブリック証明書のファイル名です。 デフォルトは RHN-ORG-TRUSTED-SSL-CERT です。 |
--cert-expiration=CA_CERT_EXPIRE | パブリック CA 証明書の有効期限です。 デフォルトはエポックロールオーバー (01-18-2038)の1日前までの日数です。 |
--set-country=COUNTRY_CODE | 2 文字の国コードです。 デフォルトは US です。 |
--set-state=STATE_OR_PROVINCE | CA の州または地方です。 デフォルトは '' です。 |
--set-city=CITY_OR_LOCALITY | 市または地域です。 デフォルトは ''です。 |
--set-org=ORGANIZATION | Red Hat など、 会社や組織です。 デフォルトは Example Corp. Inc です。 |
--set-org-unit=SET_ORG_UNIT | RHN など、 組織の単位です。 デフォルトは '' です。 |
--set-common-name=HOSTNAME | CA には一般的にはセットしません。 一般的な名前です。 |
--set-email=EMAIL | CA には一般的にはセットしません。 Email アドレスです。 |
--rpm-packager=PACKAGER | 「RHN Admin (rhn-admin@example.com)」など、 生成した RPM のパッケージャーです。 |
--rpm-vendor=VENDOR | 「IS/IT Example Corp.」など、 生成した RPM のベンダーです。 |
-v, --verbose | 詳細なメッセージを表示します。 「v」を追加していくと累積的に詳細度が増します。 |
--ca-cert-rpm=CA_CERT_RPM | めったに変更しません。 CA 証明書を収容する RPM 名です (基本のファイル名です。 filename-version-release.noarch.rpm ではありません)。 |
--key-only | ほとんど使用しません。 CA プライベートキーだけを生成します。 詳細は --gen-ca --key-only --help をご覧ください。 |
--cert-only | ほとんど使用しません。 -CA パブリック証明書だけを生成します。詳細は --gen-ca --cert-only --help をご覧ください。 |
--rpm-only | ほとんど使用しません。 配備用の RPM のみを生成します。 詳細は --gen-ca --rpm-only --help でご覧ください。 |
--no-rpm | ほとんど使用しません。 RPM の生成を除き、 CA 関連のすべての手順を行います。 |
次のオプションセットは先頭に
--gen-server の引数を付ける必要があります。
表3.2 SSL Web サーバーのオプション (rhn-ssl-tool --gen-server --help)
| オプション | 説明 |
|---|---|
--gen-server | Web サーバーの SSL キーセット、 RPM、 tar アーカイブを生成します。 表内の別のオプションとあわせて発行する必要があります。 |
-h, --help | サーバーのキーペアの生成や管理に固有の基本オプション一覧が記載されたヘルプ画面を表示します。 |
-p=, --password=PASSWORD | CA パスワードです。 指定しないと入力が求められます。 安全な方法で記録を残してください。 |
-d=, --dir=BUILD_DIRECTORY | ほとんどのコマンドに必修です。 証明書と RPM が作成されるディレクトリです。 デフォルトは ./ssl-build です。 |
--server-key=FILENAME | Web サーバーの SSL プライベートキーのファイル名です。 デフォルトは server.key です。 |
--server-cert-req=FILENAME | Web サーバーの SSL 証明書リクエストのファイル名です。デフォルトは server.csr です。 |
--server-cert=FILENAME | Web サーバーの SSL 証明書のファイル名です。 デフォルトは server.crt です。 |
--startdate=YYMMDDHHMMSSZ | サンプル形式 (年、 月、 日、 時、 分、 秒 - 1 つの値に付き 2 文字) によるサーバー証明書の有効開始日です。 Z は Zulu の略で必須となります。 デフォルトは生成の1週間前です。 |
--cert-expiration=SERVER_CERT_EXPIRE | サーバー証明書の有効期限が切れる日です。 デフォルトはエポックロールオーバー (01-18-2038) の 1 日前までの日数です。 |
--set-country=COUNTRY_CODE | 2 文字の国コードです。 デフォルトは US です。 |
--set-state=STATE_OR_PROVINCE | 州または地方です。 デフォルトはノースカロライナ (North Carolina) です。 |
--set-city=CITY_OR_LOCALITY | 市または地域です。 デフォルトは ローリー (Raleigh - ノースカロライナ州の州都) です。 |
--set-org=ORGANIZATION | Red Hat など、 会社または組織です。 デフォルトは Example Corp. Inc. です。 |
--set-org-unit=SET_ORG_UNIT | RHN など、 組織の単位です。 デフォルトは unit です。 |
--set-hostname=HOSTNAME | キーを受け取る RHN サーバーのホスト名です。 デフォルトはビルドマシンのホスト名に動的にセットされます。 |
--set-email=EMAIL | 証明書の連絡先となる Email アドレスです。 デフォルトは admin@example.corp. です。 |
--rpm-packager=PACKAGER | 「RHN Admin (rhn-admin@example.com)」など、 生成した RPM のパッケージャーです。 |
--rpm-vendor=VENDOR | 「IS/IT Example Corp.」など、 生成した RPM のベンダーです。 |
-v, --verbose | 詳細なメッセージを表示します。 「v」を追加していくと累積的に詳細度が増します。 |
--key-only | ほとんど使用しません。 サーバーのプライベートキーのみを生成します。 詳細は --gen-server --key-only --help をご覧ください。 |
--cert-req-only | ほとんど使用しません。 サーバーの証明書リクエストのみを生成します。 詳細は --gen-server --cert-req-only --help をご覧ください。 |
--cert-only | ほとんど使用しません。 サーバーの証明書のみを生成します。 詳細は --gen-server --cert-only --help をご覧ください。 |
--rpm-only | ほとんど使用しません。 配備用の RPM のみを生成します。 詳細は --gen-server --rpm-only --help をご覧ください。 |
--no-rpm | ほとんど使用しません。 RPM の生成を除いて、サーバー関連のすべての手順を行います。 |
--server-rpm=SERVER_RPM | ほとんど変更しません。 Web サーバーの SSL キーセットを収容する RPM 名です (基本のファイル名です。 filename-version-release.noarch.rpm ではありません)。 |
--server-tar=SERVER_TAR | ほとんど変更しません。 Web サーバーの SSL キーセットとホストしている RHN Proxy Server インストールのルーチンで独占的に使用される CA パブリック証明書の .tarアーカイブ名です (基本のファイル名です。 filename-version-release.tar ではありません)。 |
