10.7. マスターとクローンの変換


CRL を生成する 1 つのアクティブな CA のみが、同じトポロジー内に存在できます。同様に、CRL を受信する OCSP は 1 つだけ同じトポロジー内に存在できます。そのため、クローンはいくつでも存在できますが、CA および OCSP 用に設定されたマスターは 1 つだけです。
KRA と TKS の場合、マスターとクローンの間に設定の違いはありませんが、CA と OCSP にはいくつかの設定の違いがあります。これは、マスターがオフラインになった場合、障害やメンテナンスのため、または PKI 内のサブシステムの機能を変更するために、既存のマスターをクローンに再設定し、クローンの 1 つをマスターに昇格させなければならないことを意味します。

10.7.1. CA クローンおよびマスターの変換

  1. マスター CA が実行中の場合は停止します。
  2. 既存のマスター CA 設定ディレクトリーを開きます。
    # cd /var/lib/pki/instance_name/ca/conf
  3. マスターの CS.cfg ファイルを編集し、CRL およびメンテナンススレッド設定をクローンとして設定します。
    • データベースメンテナンススレッドの制御を無効にします。
      ca.certStatusUpdateInterval=0
    • データベースのレプリケーション変更の監視を無効にします。
      ca.listenToCloneModifications=false
    • CRL キャッシュのメンテナンスを無効にします。
      ca.crl.IssuingPointId.enableCRLCache=false
    • CRL 生成を無効にします。
      ca.crl.IssuingPointId.enableCRLUpdates=false
    • CRL 要求を新規マスターにリダイレクトするように CA を設定します。
      master.ca.agent.host=new_master_hostname
      master.ca.agent.port=new_master_port
  4. クローン作成された CA サーバーを停止します。
    # pki-server stop instance_name
  5. クローン CA の設定ディレクトリーを開きます。
    # cd /etc/instance_name
  6. CS.cfg ファイルを編集して、クローンを新規マスターとして設定します。
    1. ca.crl. 接頭辞で開始する各行を削除します。
    2. ca.crl. で始まる各行を、以前のマスター CA CS.cfg ファイルから、クローン作成された CA の CS.cfg ファイルにコピーします。
    3. データベースメンテナンススレッドの制御を有効にします。マスター CA のデフォルト値は 600 です。
      ca.certStatusUpdateInterval=600
    4. データベースのレプリケーションのモニタリングを有効にします。
      ca.listenToCloneModifications=true
    5. CRL キャッシュのメンテナンスを有効にします。
      ca.crl.IssuingPointId.enableCRLCache=true
    6. CRL 生成を有効にします。
      ca.crl.IssuingPointId.enableCRLUpdates=true
    7. CRL 生成要求のリダイレクト設定を無効にします。
      master.ca.agent.host=hostname
      master.ca.agent.port=port number
  7. 新規マスター CA サーバーを起動します。
    # pki-server start instance_name

10.7.2. OCSP クローンの変換

  1. OCSP マスターが稼働している場合は停止します。
  2. 既存のマスター OCSP 設定ディレクトリーを開きます。
    # cd /etc/instance_name
  3. CS.cfg を編集し、OCSP.Responder.store.defStore.refreshInSec パラメーターを 21600 にリセットします。
    OCSP.Responder.store.defStore.refreshInSec=21600
  4. オンラインのクローン作成された OCSP サーバーを停止します。
    # pki-server stop instance_name
  5. クローン作成された OCSP レスポンダーの設定ディレクトリーを開きます。
    # cd /etc/instance_name
  6. CS.cfg ファイルを開き、OCSP.Responder.store.defStore.refreshInSec パラメーターを削除するか、その値をゼロ以外の数字に変更します。
    OCSP.Responder.store.defStore.refreshInSec=15000
  7. 新規マスター OCSP レスポンダーサーバーを起動します。
    # pki-server start instance_name
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.