2.5. 製品およびサブスクリプションに使用する証明書

サブスクリプション管理の一環として、システム、サブスクリプションサービス、利用可能な製品など、関連するすべての ID を検証する必要があります。サブスクリプションサービスは、サブスクリプションサービスの ID および認証に証明書を使用します。証明書には、利用可能なサブスクリプションおよびインストール済み製品に関する実際のデータも含まれています。
システムに初めてサブスクリプションをアタッチする際、システムはサブスクリプションサービスから証明書をダウンロードします。サブスクリプション証明書にはそのサブスクリプションで利用可能な製品の全情報が含まれています。サブスクリプション証明書は、組織のサブスクリプションに変更が生じた場合はいつでも取り消され、再発行されます。製品が実際にマシンにインストールされると、別の証明書が発行されシステム上の製品のサブスクリプションを管理します。
サブスクリプションマネージャーのサービスが発行、使用する証明書は .pem 形式のファイルです。このファイル形式は、以下の例のように、Base64 BLOB でキーと証明書を保存します。
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Subscription Manager では rct ツールを使用してこれらの証明書から情報を抽出し、整形出力形式で表示することができます。(opensslpk12util のような全般的な PKI 管理ツールでも可能。)
本セクションでは、サブスクリプションサービスが使用する各種証明書、およびそれらの証明書に含まれるサブスクリプションの情報を説明します。X.509 証明書や公開鍵インフラストラクチャー (PKI) の詳細情報は、Red Hat 証明書システムのドキュメントである、『Red Hat Certificate System Deployment Guide 』 の 「Introduction to Public-Key Cryptography」 に記載しています。

2.5.1. サブスクリプションサービスで使用する証明書

表2 コンテンツおよびサブスクリプションに使用する証明書タイプ

証明書タイプ説明デフォルトの場所
アイデンティティー証明書サブスクリプションサービスに対してシステムを特定するために使用されます。この証明書には、システム登録時にシステムに割り当てられる一意の ID が含まれています。この証明書自体は、システム登録時にサブスクリプションサービスが生成し、システムに送信されます。/etc/pki/consumer
サブスクリプション証明書システムにアタッチされたサブスクリプションをベースに、システムにインストール可能な製品一覧が記載されています。この証明書は、ソフトウェア製品、コンテンツ配信の場所、有効期間を定義します。サブスクリプション証明書が 1 つ存在すると、システムがサブスクリプションのどれか 1 つを使用したことを意味します。/etc/pki/entitlement
製品証明書インストールされた製品の関連情報が含まれています。/etc/pki/product/product_serial#.pem
CA 証明書サブスクリプションサービスが使用する SSL サーバー証明書を発行した認証機関の証明書です。システムが SSL を使用してサブスクリプションサービスに接続するには、この証明書がシステムにインストールされている必要があります。/etc/rhsm/ca/candlepin-ca.pem
Satellite 証明書製品一覧を含む XML 形式の証明書です。これは最新のサブスクリプションサービスではなく、オンプレミスの Satellite 5.x システムで使用されます。