第4章 Subscription Manager で証明書の使用

Red Hat は、証明書を使用してシステムを識別し、契約に沿ってサブスクリプションに準拠していることを証明します。組織レベルでサブスクリプションに変更があると常に、Red Hat が証明書を無効にして新たに発行します。組織の管理者は、その新しい証明書をシステムにダウンロードする必要があります。
証明書は .pem 形式のファイルで、キーと証明書の両方が含まれます。証明書の種類は以下の 5 つになります。
  • アイデンティティー証明書: サブスクリプションサービスにおけるシステムを識別します。
  • サブスクリプション証明書: システムに割り当てたサブスクリプションに基づいて、システムにインストール可能な製品を定義します。
  • 製品証明書: インストールした製品の情報が含まれます。
  • CA 証明書: サブスクリプションサービスが使用する SSL サーバー認証を発行した認証機関。SSL を使用してサブスクリプションサービスに接続するには、この証明書をシステムにインストールする必要があります。
  • Satellite 証明書: 製品一覧を含む XML 形式の証明書。これは、オンプレミスの Satellite 5.x システムで使用され、新しいサブスクリプションでは使用されません。

4.1. サブスクリプション証明書のインポート

特別な状況では、新しい製品サブスクリプションを追加する際、サブスクリプションサービスをポーリングするのではなく、直接サブスクリプション証明書をインストールすることで追加できます。たとえば、システムがオフラインで、サブスクリプションサービスに直接接続できない場合は、そのシステムにサブスクリプションを手動で追加する必要があります。また、管理者が、インストールしていない製品にサブスクリプションを割り当てることもできます。
始める前に、カスタマーポータルからオフラインシステムの証明書を取得する必要があります。
  • カスタマーポータルから、システム ページを開きます。
  • オフラインシステムをクリックします。必要に応じて、システムにサブスクリプションを割り当てます。
  • 自分のサブスクリプション タブをクリックします。
  • 全ての証明書のダウンロード ボタンをクリックします。これにより、各製品に対するサブスクリプション証明書をすべて 1 つの .zip ファイルにエクスポートします。このファイルを、フラッシュドライブなどのポータブルメディアデバイスに保存します。代わりに、サブスクリプションの行にある ダウンロード リンクをクリックして、個々の証明書をダウンロードします。
証明書をダウンロードしたら、オフラインシステムにコピーします。すべての証明書を 1 つのアーカイブファイルにダウンロードした場合は、ダウンロードした certificates.zip ファイルに複数のアーカイブが格納されます。サブスクリプション証明書の .PEM ファイルが見つかるまで、ディレクトリーを展開していきます。
証明書をインポートします。
  • Subscription Manager を起動します。
    [root@server ~]# subscription-manager-gui
  • System メニューを開いて、Import Certificate を選択します。
  • フィールドの右にあるフォルダーのアイコンをクリックして、製品証明書の .pem ファイルに移動します。
  • Import Certificate ボタンをクリックします。
アップロードしたすべてのサブスクリプションをシステムに割り当てます。
コマンドラインを使用して証明書をインポートすることもできます。
# subscription-manager import --certificate=/tmp/export/entitlement_certificates/596576341785244687.pem
          --certificate=/tmp/export/entitlement_certificates/3195996649750311162.pem

          Successfully imported certificate 596576341785244687.pem
          Successfully imported certificate 3195996649750311162.pem