8.4. HSM を使用したクローンサブシステムのインストール
通常、クローンサブシステムは、マスターサブシステムのシステムキーを含む PKCS #12 ファイルを使用して作成されます。このファイルは、インストールに使用する設定ファイルで
pki_backup_keys
を True に設定して pki_backup_password
オプションの定義値と一緒にインストールするか、または PKCS12Export ツールを使用して鍵をエクスポートすることで、マスターサブシステムのインストール中に生成されます。
HSM を使用する場合は、HSM からキーを取得できないため、PKCS12Export で、PKCS #12 ファイルを生成することはできません。代わりに、クローンサブシステムは、マスターサブシステムが使用する HSM を指すようにして、同じキーにアクセスできるようにする必要があります。別の HSM を使用する場合は、HSM ベンダーが提供するユーティリティーを使用して、この HSM に鍵のクローンを作成します。
pkispawn
ユーティリティーを実行する前に、master サブシステムのキーへのアクセスを提供する必要があります。
Certificate System は、HSM を使用してインストールする際に PKCS #12 を使用しないため、PKCS #12 ファイルの場所とそのパスワードについて、設定ファイルでパラメーターを設定する必要はありません。次の例では、CA クローンの生成に必要な設定パラメーターと、それぞれの PKI 設定ファイルの [CA] セクションのオプションを示します。
非 HSM CA のクローンを生成するには、以下を行います。
[CA] pki_clone=True pki_clone_pkcs12_password=Secret123 pki_clone_pkcs12_path=<path_to_pkcs12_file> pki_clone_replicate_schema=True pki_clone_uri=https://<master_ca_host_name>:<master_ca_https_port>
HSM を使用して CA クローンを生成するには、以下を行います。
[CA] pki_clone=True pki_clone_replicate_schema=True pki_clone_uri=https://<master_ca_host_name>:<master_ca_https_port>
注記
マスターサブシステムが同じ証明書と鍵をそのクローンと共有できるようにするには、HSM が共有モードにあり、すべてのサブシステムからアクセスできるネットワーク上にある必要があります。