第9章 ECC システム証明書を使用するインスタンスのインストール
楕円曲線暗号 (ECC) は、RSA スタイルの暗号化よりも優先される場合があります。これは、使用するキーの長さがはるかに短く、証明書の生成が高速になるためです。ECC 対応の CA は、ECC 署名証明書を使用して、RSA 証明書と ECC 証明書の両方を発行できます。
Certificate System には ECC 機能に対するネイティブサポートが含まれています。このサポートはデフォルトで NSS 3.16 以降で有効になっています。ハードウェアセキュリティーモジュール (HSM) などのサードパーティーの PKCS #11 モジュールを読み込み、使用することも可能です。ECC モジュールを使用するには、サブシステムインスタンスを設定する前に読み込む必要があります。
重要
サードパーティーの ECC モジュールには SELinux ポリシーが設定されている必要があります。もしくは、このモジュールが機能するには、SELinux を
enforcing
モードから permissive
モードに変更する必要があります。それ以外の場合は、ECC モジュールを必要とするサブシステム操作は失敗します。
9.1. サードパーティーの ECC モジュールの読み込み
サードパーティーの ECC モジュールの読み込みは、Certificate System でサポートされる HSM の読み込みと同じ原則に従います。これは 8章サブシステムセキュリティーデータベース用のハードウェアセキュリティーモジュールの使用で説明されています。詳細は、この章を参照してください。