第14章 Certificate System の設定ファイル
すべてのサブシステムの主な設定ファイルは
CS.cfg
ファイルです。この章では、CS.cfg
ファイルの編集に関する基本情報およびそのルールを説明します。この章では、パスワードや Web サービスファイルなど、サブシステムで使用されるその他の便利な設定ファイルについても説明します。
14.1. Certificate System サブシステムのファイルおよびディレクトリーの場所
Certificate System サーバーは、1 つ以上 のサブシステムを含む Apache Tomcat インスタンスで構成されます。各サブシステムは、特定のタイプの PKI 関数の要求を処理する Web アプリケーションで構成されます。
利用可能なサブシステムは CA、KRA、OCSP、TKS、および TPS です。各インスタンスには、PKI サブシステムのタイプを 1 つのみ含めることができます。
pkispawn コマンドを使用して、特定のインスタンス内にサブシステムをインストールできます。
14.1.1. インスタンス固有の情報
デフォルトインスタンスの情報 (pki-tomcat) は、??? を参照してください。
ポートタイプ | ポート番号 | 注記 |
---|---|---|
セキュアなポート | 8443 | HTTPS 経由でエンドユーザー、エージェント、および管理者により PKI サービスにアクセスするために使用される主要なポート。 |
セキュアなポート | 8080 | HTTP を介した一部のエンドエンティティー機能のために、安全ではないサーバーにアクセスするために使用されます。たとえば、すでに署名されているため暗号化する必要のない CRL を提供するために使用されます。 |
AJP ポート | 8009 | フロントエンドの Apache プロキシーサーバーから AJP 接続を介してサーバーにアクセスするために使用されます。HTTPS ポートにリダイレクトします。 |
Tomcat ポート | 8005 | Web サーバーによって使用されます。 |
14.1.2. CA サブシステム情報
このセクションには、CA サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。
設定 | 値 |
---|---|
メインディレクトリー | /var/lib/pki/pki-tomcat/ca/ |
設定ディレクトリー | /var/lib/pki/pki-tomcat/ca/conf/[a] |
設定ファイル | /var/lib/pki/pki-tomcat/ca/conf/CS.cfg |
サブシステム証明書 | CA 署名証明書 |
OCSP 署名証明書 (CA の内部 OCSP サービス用) | |
TLS サーバー証明書 | |
監査ログ署名証明書 | |
サブシステム証明書[b] | |
セキュリティーデータベース | /var/lib/pki/pki-tomcat/alias/[c] |
ログファイル | /var/log/pki/pki-tomcat/ca/logs/[d] |
ログのインストール | /var/log/pki/pki-ca-spawn.date.log |
ログのアンインストール | /var/log/pki/pki-ca-destroy.date.log |
監査ログ | /var/log/pki/pki-tomcat/ca/signedAudit/ |
プロファイルファイル | /var/lib/pki/pki-tomcat/ca/profiles/ca/ |
メール通知テンプレート | /var/lib/pki/pki-tomcat/ca/emails/ |
Web サービスファイル | エージェントサービス: /var/lib/pki/pki-tomcat/ca/webapps/ca/agent/ |
管理サービス: /var/lib/pki/pki-tomcat/ca/webapps/ca/admin/ | |
エンドユーザーサービス: /var/lib/pki/pki-tomcat/ca/webapps/ca/ee/ | |
[a]
/etc/pki/pki-tomcat/ca/ のエイリアス
[b]
サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c]
すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。
[d]
/var/lib/pki/pki-tomcat/ca へのエイリアス
|
14.1.3. KRA サブシステム情報
このセクションには、KRA サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。
設定 | 値 |
---|---|
メインディレクトリー | /var/lib/pki/pki-tomcat/kra/ |
設定ディレクトリー | /var/lib/pki/pki-tomcat/kra/conf/[a] |
設定ファイル | /var/lib/pki/pki-tomcat/kra/conf/CS.cfg |
サブシステム証明書 | トランスポート証明書 |
ストレージ証明書 | |
TLS サーバー証明書 | |
監査ログ署名証明書 | |
サブシステム証明書[b] | |
セキュリティーデータベース | /var/lib/pki/pki-tomcat/alias/[c] |
ログファイル | /var/lib/pki/pki-tomcat/kra/logs/ |
ログのインストール | /var/log/pki/pki-kra-spawn-date.log |
ログのアンインストール | /var/log/pki/pki-kra-destroy-date.log |
監査ログ | /var/log/pki/pki-tomcat/kra/signedAudit/ |
Web サービスファイル | エージェントサービス: /var/lib/pki/pki-tomcat/kra/webapps/kra/agent/ |
管理サービス: /var/lib/pki/pki-tomcat/kra/webapps/kra/admin/ | |
[a]
/etc/pki/pki-tomcat/kra/ にリンク
[b]
サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c]
すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。
|
14.1.4. OCSP サブシステム情報
このセクションには、OCSP サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。
設定 | 値 |
---|---|
メインディレクトリー | /var/lib/pki/pki-tomcat/ocsp/ |
設定ディレクトリー | /var/lib/pki/pki-tomcat/ocsp/conf/[a] |
設定ファイル | /var/lib/pki/pki-tomcat/ocsp/conf/CS.cfg |
サブシステム証明書 | トランスポート証明書 |
ストレージ証明書 | |
TLS サーバー証明書 | |
監査ログ署名証明書 | |
サブシステム証明書[b] | |
セキュリティーデータベース | /var/lib/pki/pki-tomcat/alias/[c] |
ログファイル | /var/lib/pki/pki-tomcat/ocsp/logs/ |
ログのインストール | /var/log/pki/pki-ocsp-spawn-date.log |
ログのアンインストール | /var/log/pki/pki-ocsp-destroy-date.log |
監査ログ | /var/log/pki/pki-tomcat/ocsp/signedAudit/ |
Web サービスファイル | エージェントサービス: /var/lib/pki/pki-tomcat/ocsp/webapps/ocsp/agent/ |
管理サービス: /var/lib/pki/pki-tomcat/ocsp/webapps/ocsp/admin/ | |
[a]
/etc/pki/pki-tomcat/ocsp/ へのリンク
[b]
サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c]
すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。
|
14.1.5. TKS サブシステム情報
このセクションには、TKS サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。
設定 | 値 |
---|---|
メインディレクトリー | /var/lib/pki/pki-tomcat/tks/ |
設定ディレクトリー | /var/lib/pki/pki-tomcat/tks/conf/[a] |
設定ファイル | /var/lib/pki/pki-tomcat/tks/conf/CS.cfg |
サブシステム証明書 | トランスポート証明書 |
ストレージ証明書 | |
TLS サーバー証明書 | |
監査ログ署名証明書 | |
サブシステム証明書[b] | |
セキュリティーデータベース | /var/lib/pki/pki-tomcat/alias/[c] |
ログファイル | /var/lib/pki/pki-tomcat/tks/logs/ |
ログのインストール | /var/log/pki/pki-tks-spawn-date.log |
ログのアンインストール | /var/log/pki/pki-tks-destroy-date.log |
監査ログ | /var/log/pki/pki-tomcat/tks/signedAudit/ |
Web サービスファイル | エージェントサービス: /var/lib/pki/pki-tomcat/tks/webapps/tks/agent/ |
管理サービス: /var/lib/pki/pki-tomcat/tks/webapps/tks/admin/ | |
[a]
/etc/pki/pki-tomcat/tks/ にリンク
[b]
サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c]
すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。
|
14.1.6. TPS サブシステム情報
このセクションには、TPS サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。
設定 | 値 |
---|---|
メインディレクトリー | /var/lib/pki/pki-tomcat/tps |
設定ディレクトリー | /var/lib/pki/pki-tomcat/tps/conf/[a] |
設定ファイル | /var/lib/pki/pki-tomcat/tps/conf/CS.cfg |
サブシステム証明書 | トランスポート証明書 |
ストレージ証明書 | |
TLS サーバー証明書 | |
監査ログ署名証明書 | |
サブシステム証明書[b] | |
セキュリティーデータベース | /var/lib/pki/pki-tomcat/alias/[c] |
ログファイル | /var/lib/pki/pki-tomcat/tps/logs/ |
ログのインストール | /var/log/pki/pki-tps-spawn-date.log |
ログのアンインストール | /var/log/pki/pki-tps-destroy-date.log |
監査ログ | /var/log/pki/pki-tomcat/tps/signedAudit/ |
Web サービスファイル | エージェントサービス: /var/lib/pki/pki-tomcat/tps/webapps/tps/agent/ |
管理サービス: /var/lib/pki/pki-tomcat/tps/webapps/tps/admin/ | |
[a]
/etc/pki/pki-tomcat/tps/ にリンク
[b]
サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c]
すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。
|
14.1.7. 共有 Certificate System サブシステムファイルの場所
サーバー全般操作のために、すべての Certificate System サブシステムインスタンスで使用されるディレクトリーがあります (??? に記載されています)。
ディレクトリーの場所 | コンテンツ | |||||
---|---|---|---|---|---|---|
/var/lib/instance_name | ユーザー固有のディレクトリーの場所およびカスタマイズされた設定ファイル、プロファイル、証明書データベース、Web ファイル、およびサブシステムインスタンスの他のファイルの場所であるメインインスタンスディレクトリーが含まれます。 | |||||
/usr/share/java/pki | Certificate System サブシステムによって共有される Java アーカイブファイルが含まれます。すべてのサブシステムの共有ファイルとともに、サブディレクトリーにサブシステム固有のファイルがあります。
| |||||
/usr/share/pki | Certificate System インスタンスの作成に使用する一般的なファイルとテンプレートが含まれます。すべてのサブシステムの共有ファイルとともに、サブディレクトリーにサブシステム固有のファイルがあります。
| |||||
/usr/bin | Certificate System サブシステムが共有する pkispawn および pkidestroy インスタンス設定スクリプトおよびツール (Java、ネイティブ、およびセキュリティー) が含まれます。 | |||||
/var/lib/tomcat5/common/lib | ローカルの Tomcat Web アプリケーションで共有される Java アーカイブファイルへのリンクが含まれ、Certificate System サブシステムによって共有されます。TPS サブシステムが使用していない。 | |||||
/var/lib/tomcat5/server/lib | ローカルの Tomcat Web サーバーによって使用される Java アーカイブファイルへのリンクが含まれ、Certificate System サブシステムによって共有されます。TPS サブシステムが使用していない。 | |||||
/usr/shared/pki | Tomcat サーバーおよび Certificate System インスタンスが使用するアプリケーションが使用する Java アーカイブファイルが含まれます。TPS サブシステムが使用していない。 | |||||
| TPS サブシステムによって使用される Apache モジュールが含まれます。CA、KRA、OCSP、または TKS サブシステムでは使用されません。 | |||||
| TPS サブシステムが使用する Mozilla LDAP SDK ツール。CA、KRA、OCSP、または TKS サブシステムでは使用されません。 |