14.10. 証明書の透過性の設定
Certificate System は、証明書 Certificate Transparency (CT) V1 サポートの基本バージョン (rfc 6962) を提供します。各デプロイメントサイトがルート CA 証明書を含めることを選択した信頼できるログから、Signed Certificate Time スタンプ (SCT) が埋め込まれた証明書を発行する機能があります。また、複数の CT ログに対応するようにシステムを設定することもできます。この機能を使用するには、少なくとも 1 つの信頼できる CT ログが必要です。
重要
デプロイメントサイトが、信頼できる CT ログサーバーとの信頼関係を確立します。
証明書の透過性を設定するには、
/var/lib/pki/instance name/ca/conf/CS.cfg
ディレクトリーにある CA の CS.cfg
ファイルを編集します。
証明書の透過性設定をテストする方法は、『Red Hat Certificate System 計画、インストール、およびデプロイメントのガイド』 の 『証明書の透明性のテスト』 セクションを参照してください。
14.10.1. ca.certTransparency.mode
ca.certTransparency.mode
は、3 つの証明書の透過性モードのいずれかを指定します。
- disabled: 発行した証明書には SCT 拡張がありません。
- enabled: 発行した証明書に SCT 拡張が含まれます。
- perProfile: 以下の policyset が含まれるプロファイルで登録された証明書は SCT 拡張を保持します: SignedCertificateTimestampListExtDefaultImpl
デフォルトの値は 0 です。
14.10.2. ca.certTransparency.log.num
ca.certTransparency.log.num
は、設定で定義された CT ログの合計数を指定します。
注記
定義されている CT ログエントリーがすべてアクティブとみなされているわけではありません。「ca.certTransparency.log.<id>.*」 の
ca.certTransparency.log.<id>.enable
を参照してください。
14.10.3. ca.certTransparency.log.<id>.*
ca.certTransparency.log.<id>.*
は、ログ <id> に関する情報を指定します。ここで、<id> は CT ログサーバーに割り当てる一意の ID で、他の CT ログと区別します。
パラメーター名はそれぞれの
ca.certTransparency.log.<id>.
に準拠しており、<id> に属します。
- ca.certTransparency.log.<id>.enable は、<id> CT ログが有効 (true) または無効 (false) であるかを指定します。
- ca.certTransparency.log.<id>.pubKey には、CT ログの公開鍵の base64 エンコーディングが含まれます。
- ca.certTransparency.log.<id>.url には、CT ログ URL の base64 エンコーディングが含まれます。
- ca.certTransparency.log.<id>.version は、(CT ログサーバーと同様) CT がサポートする CT バージョン番号を指定します。現在、バージョン 1 のみをサポートしています。