検索

14.8. CMC の設定

download PDF
このセクションでは、CMS (CMC) で証明書管理に Certificate System を設定する方法を説明します。

14.8.1. CMC の仕組み

CMC を設定する前に、以下のドキュメントを参照してこのトピックの詳細を確認してください。

14.8.2. PopLinkWittnessV2 機能の有効化

認証局 (CA) の高レベルのセキュリティーの場合は、/var/lib/pki/instance_name/ca/conf/CS.cfg ファイルで以下のオプションを有効にします。
cmc.popLinkWitnessRequired=true

14.8.3. CMC 共有シークレット機能の有効化

認証局 (CA) で共有トークン機能を有効にするには、以下を実行します。
  1. ホストでウォッチドッグサービスが有効になっている場合は、そのサービスを一時的に無効にします。「Watchdog サービスの無効化」 を参照してください。
  2. Directory Server のスキーマに shrTok 属性を追加します。
    # ldapmodify -D "cn=Directory Manager" -H ldaps://server.example.com:636 -W -x
    
    dn: cn=schema
    changetype: modify
    add: attributetypes
    attributetypes: ( 2.16.840.1.117370.3.1.123 NAME 'shrTok' DESC 'User
     Defined ObjectClass for SharedToken' SYNTAX 1.3.6.1.4.1.1466.115.121.1.40
     SINGLE-VALUE X-ORIGIN 'custom for sharedToken')
  3. システムキーが Hardware Security Module (HSM) に保存されている場合は、/var/lib/pki/instance_name/ca/conf/CS.cfg ファイルに cmc.token パラメーターを設定します。以下に例を示します。
    cmc.token=NHSM-CONN-XC
  4. 以下の方法のいずれかを使用して、共有トークン認証プラグインを有効にします。
    • 注記
      pkiconsole は非推奨になりました。
      pkiconsole ユーティリティーを使用してプラグインを有効にするには、次のコマンドを実行します。
      1. pkiconsole ユーティリティーを使用してシステムにログインします。以下に例を示します。
        # pkiconsole https:host.example.com:8443/ca
      2. Configuration タブで、Authentication を選択します。
      3. Add をクリックして、SharedToken を選択します。
      4. Next をクリックします。
      5. 以下の情報を入力します。
        Authentication InstanceID=SharedToken
        shrTokAttr=shrTok
        ldap.ldapconn.host=server.example.com
        ldap.ldapconn.port=636
        ldap.ldapconn.secureConn=true
        ldap.ldapauth.bindDN=cn=Directory Manager
        password=password
        ldap.ldapauth.authtype=BasicAuth
        ldap.basedn=ou=People,dc=example,dc=org
      6. OK をクリックします。
    • プラグインを手動で有効にするには、以下の設定を /var/lib/pki/instance_name/ca/conf/CS.cfg ファイルに追加します。
      auths.impl.SharedToken.class=com.netscape.cms.authentication.SharedSecret
      auths.instance.SharedToken.dnpattern=
      auths.instance.SharedToken.ldap.basedn=ou=People,dc=example,dc=org
      auths.instance.SharedToken.ldap.ldapauth.authtype=BasicAuth
      auths.instance.SharedToken.ldap.ldapauth.bindDN=cn=Directory Manager
      auths.instance.SharedToken.ldap.ldapauth.bindPWPrompt=Rule SharedToken
      auths.instance.SharedToken.ldap.ldapauth.clientCertNickname=
      auths.instance.SharedToken.ldap.ldapconn.host=server.example.com
      auths.instance.SharedToken.ldap.ldapconn.port=636
      auths.instance.SharedToken.ldap.ldapconn.secureConn=true
      auths.instance.SharedToken.ldap.ldapconn.version=3
      auths.instance.SharedToken.ldap.maxConns=
      auths.instance.SharedToken.ldap.minConns=
      auths.instance.SharedToken.ldapByteAttributes=
      auths.instance.SharedToken.ldapStringAttributes=
      auths.instance.SharedToken.pluginName=SharedToken
      auths.instance.SharedToken.shrTokAttr=shrTok
  5. /var/lib/pki/instance_name/ca/conf/CS.cfg ファイルの ca.cert.issuance_protection.nickname パラメーターで、RSA 発行保護証明書のニックネームを設定します。以下に例を示します。
    ca.cert.issuance_protection.nickname=issuance_protection_certificate
    このステップは以下のとおりです。
    • ca.cert.subsystem.nickname パラメーターで RSA 証明書を使用する場合はオプションになります。
    • ca.cert.subsystem.nickname パラメーターで ECC 証明書を使用する場合に必須です。
    重要
    ca.cert.issuance_protection.nickname パラメーターが設定されていない場合、Certificate System は ca.cert.subsystem.nicknameで指定されたサブシステムの証明書を自動的に使用します。ただし、発行保護証明書は RSA 証明書である必要があります。
  6. Certificate System を再起動します。
    # systemctl restart pki-tomcatd@instance_name.service
    CA が起動すると、Certificate System は Shared Token プラグインが使用する LDAP パスワードを要求します。
  7. この手順の最初に watchdog サービスを一時的に無効にした場合は、再度有効にします。「Watchdog サービスの有効化」 を参照してください。

14.8.4. Web ユーザーインターフェイスの CMCRevoke の有効化

Red Hat Certificate System 管理ガイド』のCMC 失効の実行セクションで説明されているように、失効リクエストを送信する方法は 2 つあります。
CMCRevoke ユーティリティーを使用して、Web UI で送信される失効要求を作成する場合は、以下の設定を /var/lib/pki/instance_name/ca/conf/CS.cfg ファイルに追加します。
cmc.bypassClientAuth=true
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.