Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第2章 Red Hat Enterprise Linux 8.10 上の Red Hat Certificate System 10.8

このセクションでは、注目すべき更新と新機能、重要なバグ修正、ユーザーが知っておくべき現在の既知の問題など、Red Hat Certificate System 10.8 の重要な変更について説明します。

注記

Red Hat Certificate System を以前のマイナーバージョンにダウングレードすることはサポートされていません。

2.1. CS 10.8 の更新と新機能
リンクのコピー

このセクションでは、Red Hat Certificate System 10.8 の新機能および重要な更新を説明します。

Certificate System パッケージがバージョン 11.6 にリベースされました。

Certificate System のデフォルトを Random Serial Numbers に変更

Certificate System 10.6 から Certificate System 10.8 に移行する場合、Certificate System 10.8 のデフォルトが Random Serial Numbers v3 (RSNv3) に設定されていることに注意してください。

Certificate System 10.6 インスタンスが SSN または RSNv1 を使用していた場合、Certificate System 10.8 に移行した後もそのまま動作します。必要に応じて RSNv3 に切り替えることができます。

新しい Certificate System 10.8 インスタンスをインストールする場合、Sequential Serial Numbers (SSN) または RSNv1 を使用するように明示的に設定しない限り、デフォルトで RSNv3 が使用されます。

注記: RSNv3 に移行した後に SSN RSNv1 に戻すことはサポートされません。

Certificate System で Sequential Serial Numbers v2 がサポート対象に

Sequential Serial Numbers v2 (SSNv2) はシリアル番号を使用する SSNv1 と同じように動作しますが、異なる設定が必要であり、証明書のシリアル番号の連続する範囲の割り当てに関する問題を解決します。

注記:

SSNv2 は CA の要求と証明書に対してのみサポートされます。

dbs.enableRandomSerialNumbers=true を使用するランダムシリアル番号では、SSNv2 はサポートされません。代わりに RSNv3 を使用してください。

SSNv2 は KRA の要求とキーではサポートされません。代わりに RSNv3 を使用してください。

Certificate System でセキュアトランスポートプロトコルによる登録がサポート対象に

Enrollment over Secure Transport (EST) プロトコルのサポートが RHCS に追加されました。EST は、セキュアな証明書登録をデバイスに提供するために設計された暗号化プロトコルです。EST は、自動登録および証明書管理のために設計されています。EST の詳細は、RFC7030 を参照してください。

インストールの詳細は「計画、インストール、およびデプロイメントのガイド」を、EST 設定の詳細は「管理ガイド」を参照してください。

Certificate System で OAEP キーラッピングアルゴリズムがサポート対象に

古い PKCS#1 アルゴリズムに代わって、Optimal Asymmetric Encryption Padding (OAEP) キーラッピングアルゴリズムのサポートが RHCS に追加されました。新しい HSM デバイスと、それ以降の FIPS 対応バージョンの NSS では、頻繁にこのアルゴリズムを使用する必要があります。

OAEP が最もよく使用されるシナリオは 2 つあります。

  • KRA、TPS、TKS などの RHCS サブシステム内。
  • いずれかの RHCS サブシステムと対話するさまざまなコマンドラインツール経由での使用。

インストールの詳細は「計画、インストール、およびデプロイメントのガイド」を、OAEP 設定の詳細は「管理ガイド」を参照してください。

Certificate System で期限切れ証明書の削除がサポート対象に

CA データベースのプルーニングを設定できるようになりました。これにより、期限切れの証明書と証明書要求レコードを CA データベースからパージできます。以前はこれを実行する方法がなく、データベースは拡大し続け、保存、パフォーマンスの低下、コストの増加などの問題が発生する可能性がありました。

注記: レコードを安全に削除するには、CA は RSNv3 を使用して証明書のシリアル番号と登録/更新要求 ID を生成する必要があります。

RHCS の CA では、以下を削除するプルーニングジョブを使用できます。

  • しばらく前に期限が切れた証明書
  • 期限切れ証明書に対応する完了した要求
  • しばらくアイドル状態になっている未完了の要求

ジョブが実行されるたびに一定数のレコードを削除するには、ジョブを定期的に実行するようにスケジュールする必要があります。残りのレコードは後続の実行で削除されます。大規模なデプロイメントでは、クラスター内のサーバー間でジョブを分散できます。

設定されたパスワードの複雑さを適用するパスワードポリシーを追加

サーバー側のキー生成で登録する際に、ユーザーが定義したパスワードの品質を適用するための新しいパスワードポリシーオプションを使用できます。これにより、お客様は生成された証明書とキーを使用して、交換された PKCS #12 ファイルのセキュリティーを強化できます。

このポリシーでは以下を設定できます。

  • password.minSize: パスワードの最小サイズ。
  • password.minUpperLetter: 大文字の最小数。
  • password.minLowerLetter: 小文字の最小数。
  • password.minNumber: 最小桁数。
  • password.minSpecialChar: 句読点の最小数。
  • password.seqLength: 繰り返すことのできない部分文字列シーケンスのサイズ。
  • password.maxRepeatedChar: 文字を繰り返すことができる最大回数。

各プロファイルのパスワードの複雑さを設定できますが、デフォルト値は CS.cfg で設定できます。

RHCS で ACME がフルサポート対象に

Automated Certificate Management Environment (ACME) レスポンダーを介したサーバー証明書の発行が、Red Hat Certificate System (RHCS) で完全にサポートされるようになりました。ACME レスポンダーは ACME v2 プロトコル (RFC 8555) をサポートします。

以前は、ユーザーは認証局 (CA) の独自の証明書署名要求 (CSR) 送信ルーチンを使用する必要がありました。ルーチンでは、要求を手動で確認して証明書を発行するために、認証局 (CA) エージェントが必要になる場合がありました。

RHCS ACME レスポンダーは、CA エージェントを使用せずに、サーバー証明書の自動発行とライフサイクル管理のための標準メカニズムを提供するようになりました。この機能により、RHCS CA を既存の証明書発行インフラストラクチャーと統合して、デプロイメント用のパブリック CA と開発用の内部 CA をターゲットにすることができます。

詳細は、IETF definition of ACME を参照してください。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat