14.10. 証明書の透過性の設定


Certificate System は、証明書 Certificate Transparency (CT) V1 サポートの基本バージョン (rfc 6962) を提供します。各デプロイメントサイトがルート CA 証明書を含めることを選択した信頼できるログから、Signed Certificate Time スタンプ (SCT) が埋め込まれた証明書を発行する機能があります。また、複数の CT ログに対応するようにシステムを設定することもできます。この機能を使用するには、少なくとも 1 つの信頼できる CT ログが必要です。
重要
デプロイメントサイトが、信頼できる CT ログサーバーとの信頼関係を確立します。
証明書の透過性を設定するには、/var/lib/pki/instance name/ca/conf/CS.cfg ディレクトリーにある CA の CS.cfg ファイルを編集します。
証明書の透過性設定をテストする方法は、『Red Hat Certificate System 計画、インストール、およびデプロイメントのガイド』 の 証明書の透明性のテスト セクションを参照してください。

14.10.1. ca.certTransparency.mode

ca.certTransparency.mode は、3 つの証明書の透過性モードのいずれかを指定します。
  • disabled: 発行した証明書には SCT 拡張がありません。
  • enabled: 発行した証明書に SCT 拡張が含まれます。
  • perProfile: 以下の policyset が含まれるプロファイルで登録された証明書は SCT 拡張を保持します: SignedCertificateTimestampListExtDefaultImpl
デフォルトの値は 0 です。

14.10.2. ca.certTransparency.log.num

ca.certTransparency.log.num は、設定で定義された CT ログの合計数を指定します。
注記
定義されている CT ログエントリーがすべてアクティブとみなされているわけではありません。「ca.certTransparency.log.<id>.*」ca.certTransparency.log.<id>.enable を参照してください。

14.10.3. ca.certTransparency.log.<id>.*

ca.certTransparency.log.<id>.* は、ログ <id> に関する情報を指定します。ここで、<id> は CT ログサーバーに割り当てる一意の ID で、他の CT ログと区別します。
パラメーター名はそれぞれの ca.certTransparency.log.<id>. に準拠しており、<id> に属します。
  • ca.certTransparency.log.<id>.enable は、<id> CT ログが有効 (true) または無効 (false) であるかを指定します。
  • ca.certTransparency.log.<id>.pubKey には、CT ログの公開鍵の base64 エンコーディングが含まれます。
  • ca.certTransparency.log.<id>.url には、CT ログ URL の base64 エンコーディングが含まれます。
  • ca.certTransparency.log.<id>.version は、(CT ログサーバーと同様) CT がサポートする CT バージョン番号を指定します。現在、バージョン 1 のみをサポートしています。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.