Red Hat Summit16.3. エージェント承認キーリカバリースキームの設定
キーリカバリーエージェントは、PKCS#12 パッケージ内の秘密暗号化キーと関連する証明書をまとめて承認および取得します。キーリカバリーを承認するには、必要な数のリカバリーエージェントが KRA エージェントサービスページにアクセスし、Authorize Recovery 領域を使用して各承認を個別に入力します。
エージェントの 1 つが、キーリカバリープロセスを開始します。同期リカバリーの場合、各承認エージェントは、(最初のリクエストで返された) 参照番号を使用して要求をオープンにし、その後、個別に鍵のリカバリーを承認します。非同期リカバリーの場合、承認エージェントはすべてキーリカバリー要求を検索してから、キーリカバリーを承認します。すべての承認が指定されている場合に、KRA は情報を確認します。提示された情報が正しい場合は、要求されたキーを取得し、PKCS #12 パッケージの形式で、キーリカバリープロセスを開始したエージェントに、対応する証明書を返します。
キーリカバリーエージェントスキーム は、キーリカバリーエージェントが属するグループを認識するように KRA を設定し、アーカイブされた鍵を復元する前にキーリカバリー要求を承認するために必要なこれらのエージェントの数を指定します。
16.3.1. コマンドラインでのエージェント承認キーリカバリーの設定
エージェントが開始するキーリカバリーを設定するには、KRA 設定で 2 つのパラメーターを編集します。
- リカバリーの承認に必要なリカバリーマネージャーの数を設定します。
- これらのユーザーが属する必要のあるグループを設定します。
これらのパラメーターは、KRA の CS.cfg 設定ファイルで設定されます。
設定ファイルを編集する前にサーバーを停止します。
systemctl stop pki-tomcatd@instance_name.service
# systemctl stop pki-tomcatd@instance_name.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow または (
nuxwdog watchdogを使用している場合)systemctl stop pki-tomcatd-nuxwdog@instance_name.service
# systemctl stop pki-tomcatd-nuxwdog@instance_name.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow KRA の
CS.cfgファイルを開きます。vim /var/lib/pki/pki-tomcat/kra/conf/CS.cfg
# vim /var/lib/pki/pki-tomcat/kra/conf/CS.cfgCopy to Clipboard Copied! Toggle word wrap Toggle overflow 2 つのリカバリースキームパラメーターを編集します。
kra.noOfRequiredRecoveryAgents=3 kra.recoveryAgentGroup=Key Recovery Authority Agents
kra.noOfRequiredRecoveryAgents=3 kra.recoveryAgentGroup=Key Recovery Authority AgentsCopy to Clipboard Copied! Toggle word wrap Toggle overflow サービスを再起動します。
systemctl start pki-tomcatd@instance_name.service
systemctl start pki-tomcatd@instance_name.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow OR
systemctl start pki-tomcatd-nuxwdog@instance_name.service
# systemctl start pki-tomcatd-nuxwdog@instance_name.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
コンソールでエージェント承認済みキーリカバリーを設定する方法は、Red Hat Certificate System 管理ガイド の コンソールでのエージェント承認キーリカバリーの設定 を参照してください。
16.3.2. キーリカバリーフォームのカスタマイズ
デフォルトのキーエージェントスキームでは、キーリカバリー認証局エージェントグループの単一のエージェントがキーリカバリーの承認を担当する必要があります。
キーリカバリー形式の外観をカスタマイズすることもできます。キーリカバリーエージェントには、キーリカバリープロセスを開始するための適切なページが必要です。デフォルトでは、KRA のエージェントサービスページには、キーリカバリーエージェントがキーリカバリーを開始し、キーリカバリー要求を承認し、暗号化キーを取得できるようにする適切な HTML フォームが含まれています。このフォームは、confirmRecover.html と呼ばれる /var/lib/pki/pki-tomcat/kra/webapps/kra/agent/kra/ ディレクトリーにあります。
キーリカバリーの確認フォームをカスタマイズするには、応答を生成するための情報を削除しないでください。これは、フォームの機能に不可欠です。コンテンツへの変更とフォームの表示を制限します。
16.3.3. 新しいプライベートストレージキーでのキーの再ラップ
一部の秘密鍵 (主に以前のデプロイメントで) は、KRA でアーカイブされた場合に SHA-1、1024 ビットのストレージキーでラップされました。プロセッサーの速度とアルゴリズムが破損しているため、このアルゴリズムはセキュリティーレベルが低くなります。セキュリティー対策として、新しい強力なストレージ鍵 (SHA-256、2048 ビット鍵) で秘密鍵を再ラップできます。
16.3.3.1. KRATool について
キーの再ラップと移動、およびキーの登録とリカバリー要求は、KRATool ユーティリティー (以前のバージョンの Red Hat Certificate System では DRMTool) を使用して行われます。
KRATool は、2 つの操作を実行します。新しい秘密鍵で鍵を再ラップでき、登録やリカバリー要求など、キーレコードの LDIF ファイルエントリーで属性を再配列できます。少なくとも 1 つの操作 (再ラップまたは再番号付け) を実行する必要があり、両方を 1 回の呼び出しで実行できます。
キーを再ラップする場合、ツールは元の KRA のエクスポートされた LDIF ファイルのキーエントリーにアクセスし、元の KRA ストレージキーを使用してキーをアンラップしてから、新しい KRA のより強力なストレージキーでキーを再ラップします。
例16.1 キーの再ラップ
複数の KRA インスタンスが単一のインスタンスにマージされる場合は、キーまたは要求レコードに競合する CN、DN、シリアル番号、または要求 ID 番号がないことを確認することが重要です。これらの値を処理して、既存の値に新しい大きな数値を追加できます。
例16.2 キーの番号変更
KRATool オプションとその設定ファイルの詳細は、KRATool(1) の man ページで説明されています。
16.3.3.2. 1 つまたは複数の KRA から 1 つの KRA へのキーのラップとマージ
この手順では、1 つ以上の Certificate System KRA (たとえば、sourcekra.example.com の pki-tomcat) に保存されているキーを再ラップし、それを別の Certificate System KRA (たとえば targetkra.example.com の pki-tomcat-2) に保存します。これが唯一のユースケースではありません。このツールは、ソースとターゲットの両方と同じインスタンスで実行して既存のキーを再ラップすることも、キーをまったく再ラップせずに複数の KRA インスタンスから単一のインスタンスにキーをコピーするために使用することもできます。
pki-tomcat-2 KRA ストレージ鍵のサイズとタイプは、2048 ビットおよび RSA に設定する必要があります。
- targetkra.example.com にログインします。
pki-tomcat-2KRA を停止します。systemctl stop pki-tomcatd@pki-tomcat-2.service
[root@targetkra ~]# systemctl stop pki-tomcatd@pki-tomcat-2.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow sourcekra.example.com にある
pki-tomcatKRA インスタンスからインポートされるキーデータを保存するデータディレクトリーを作成します。mkdir -p /export/pki
[root@targetkra ~]# mkdir -p /export/pkiCopy to Clipboard Copied! Toggle word wrap Toggle overflow pki-tomcat-2KRA のパブリックストレージ証明書を、新規データディレクトリーのフラットファイルにエクスポートします。certutil -L -d /var/lib/pki/pki-tomcat-2/alias -n "storageCert cert-pki-tomcat-2 KRA" -a > /export/pki/targetKRA.cert
[root@targetkra ~]# certutil -L -d /var/lib/pki/pki-tomcat-2/alias -n "storageCert cert-pki-tomcat-2 KRA" -a > /export/pki/targetKRA.certCopy to Clipboard Copied! Toggle word wrap Toggle overflow 同じマシンにある場合は、
pki-tomcat-2KRA の Directory Server インスタンスを停止します。systemctl stop dirsrv.target
[root@newkra ~]# systemctl stop dirsrv.targetCopy to Clipboard Copied! Toggle word wrap Toggle overflow pki-tomcat-2KRA の設定情報をエクスポートします。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重要LDIF ファイルの最後に 1 行の空白行が含まれていることを確認してください。
- sourcekra.example.com にログインします。
pki-tomcatKRA を停止します。systemctl stop pki-tomcatd@pki-tomcat.service
[root@sourcekra ~]# systemctl stop pki-tomcatd@pki-tomcat.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow targetkra.example.com にある
pki-tomcat-2KRA インスタンスにエクスポートされるキーデータを保存するデータディレクトリーを作成します。mkdir -p /export/pki
[root@sourcekra ~]# mkdir -p /export/pkiCopy to Clipboard Copied! Toggle word wrap Toggle overflow 同じマシンにある場合は、
pki-tomcatKRA の Directory Server インスタンスを停止します。systemctl stop dirsrv.target
[root@sourcekra ~]# systemctl stop dirsrv.targetCopy to Clipboard Copied! Toggle word wrap Toggle overflow pki-tomcatKRA の設定情報をエクスポートします。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重要LDIF ファイルの最後に 1 行の空白行が含まれていることを確認してください。
このディレクトリーに
pki-tomcatKRA NSS セキュリティーデータベースをコピーします。cp -p /var/lib/pki/pki-tomcat/alias/cert9.db /export/pki cp -p /var/lib/pki/pki-tomcat/alias/key4.db /export/pki cp -p /var/lib/pki/pki-tomcat/alias/pkcs11.txt /export/pki
[root@sourcekra ~]# cp -p /var/lib/pki/pki-tomcat/alias/cert9.db /export/pki [root@sourcekra ~]# cp -p /var/lib/pki/pki-tomcat/alias/key4.db /export/pki [root@sourcekra ~]# cp -p /var/lib/pki/pki-tomcat/alias/pkcs11.txt /export/pkiCopy to Clipboard Copied! Toggle word wrap Toggle overflow パブリックストレージキーを持つファイルを
pki-tomcat-2KRA マシンからこのマシンにコピーします。以下に例を示します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
必要に応じて、このツールで使用するデフォルトの
KRATool.cfgファイルを編集します。デフォルトのファイルは、変更せずに使用することもできます。 KRAToolを実行します。これらのパラメーターはすべて 1 行にまとめる必要があります。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記コマンドは、
pki-tomcatKRA NSS セキュリティーデータベースに保存されているトークンのパスワードの入力を求める場合があります。完了すると、このコマンドは、-target_ldif_file パラメーター
source2targetKRA.ldifで指定されたファイルを作成します。この LDIF ファイルを
pki-tomcat-2KRA マシンにコピーします。以下に例を示します。scp /export/pki/source2targetKRA.ldif root@targetkra.example.com:/export/pki
[root@sourcekra ~]# scp /export/pki/source2targetKRA.ldif root@targetkra.example.com:/export/pkiCopy to Clipboard Copied! Toggle word wrap Toggle overflow 重要LDIF ファイルの最後に 1 行の空白行が含まれていることを確認してください。
複数の KRA インスタンスをマージしている場合、それらのデータは単一のインポート操作にマージできます。マージされるすべての KRA で同じ手順を実施します。
重要-target_ldif_file パラメーターが LDIF ファイルを作成するように一意の値を指定し、LDIF ファイルが連結したときに競合が発生しないように一意の -append_id_offset 値を指定します。
pki-tomcat-2KRA マシンに、pki-tomcat-2KRA 設定 LDIF ファイル、およびその他の KRA インスタンス用にエクスポートされたすべての LDIF ファイルを連結して、LDIF ファイルを他のキーデータとともにインポートします。以下に例を示します。cd /export/pki cat pki-tomcat-2.ldif source2targetKRA.ldif > combined.ldif
[root@targetkra ~]# cd /export/pki [root@targetkra ~]# cat pki-tomcat-2.ldif source2targetKRA.ldif > combined.ldifCopy to Clipboard Copied! Toggle word wrap Toggle overflow pki-tomcat-2KRA インスタンス用に、この組み合わせた LDIF ファイルを Directory Server データベースにインポートします。/usr/lib64/dirsrv/slapd-instanceName/ldif2db -n pki-tomcat-2-KRA -i /export/pki/combined.ldif
[root@targetkra ~]# /usr/lib64/dirsrv/slapd-instanceName/ldif2db -n pki-tomcat-2-KRA -i /export/pki/combined.ldifCopy to Clipboard Copied! Toggle word wrap Toggle overflow pki-tomcat-2KRA の Directory Server インスタンスを起動します。systemctl start dirsrv.target
[root@targetkra ~]# systemctl start dirsrv.targetCopy to Clipboard Copied! Toggle word wrap Toggle overflow pki-tomcat-2KRA を起動します。systemctl start pki-tomcatd@pki-tomcat-2.service
[root@targetkra ~]# systemctl start pki-tomcatd@pki-tomcat-2.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
16.3.4. クローン後の CA-KRA コネクター情報の更新
クローン後の CA-KRA 情報の更新に関する詳細は、「クローン後の CA-KRA コネクター情報の更新」 を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}