サポートコンソール開発者トライアルの開始お問い合わせ

27.4. 使用方法

この手順では、1 つの Certificate System 7.1 KRA に保存されているキーを再ラップし、Certificate System 8.1 KRA に保存します。これが唯一のユースケースではありません。このツールは、ソースとターゲットの両方と同じインスタンスで実行して既存のキーを再ラップすることも、キーをまったく再ラップせずに複数の KRA インスタンスから単一のインスタンスにキーをコピーするために使用することもできます。
  1. 新しい KRA インスタンスおよびマシンを準備します。
    1. 新しい Red Hat Certificate System 8.1 KRA インスタンスをインストールして設定します。
      重要
      ストレージキーのサイズとタイプを 2048 ビットおよび RSA に設定します。
    2. 新しい KRA を停止します。 
      [root@newkra ~]# service pki-kra stop
    3. 古い KRA からエクスポートしたキーデータを保存するデータディレクトリーを作成します。 
      [root@newkra ~]# mkdir -p /export/pki
    4. 新しい KRA のパブリックストレージ証明書を、新しい データディレクトリーのフラットファイルにエクスポートします。 
      [root@newkra ~]# certutil -L -d /var/lib/pki-kra/alias/ -n "storageCert cert-pki-kra" -a > /export/pki/newKRA.cert
    5. 同じマシンにある場合は、新しい KRA の Directory Server インスタンスを停止します。 
      >[root@newkra ~]# service dirsrv stop
    6. 新しい KRA の設定情報をエクスポートします。 
      [root@newkra ~]# /usr/lib[64]/disrv/slapd-instanceName/db2ldif -n newkra.example.com-pki-kra -a /export/pki/newkra.ldif
      重要
      LDIF ファイルに、末尾に空白行が 1 つ含まれていることを確認してください。
  2. 古い KRA インスタンスからキーデータをエクスポートおよび準備します。
    1. エクスポートされたキーデータを保存するデータディレクトリーを作成します。 
      [root@oldkra ~]# mkdir -p /export/pki
    2. [root@oldkra ~]# db2ldif などのツールを使用して、元の KRA インスタンスから情報をエクスポートします。これは、移行 ガイドの KRA の章の 7.1 から 8.1 への移行手順の一部とし て行われます。
    3. エクスポートしたデータの LDIF をデータディレクトリーにコピーし、アーカイブ CA を変更するためにデータファイルを更新します。 
      [root@oldkra ~]# cp /path/to/rhcs80-pki-kra.ldif /export/pki

[root@oldkra ~]# sed -i -e "s/^archivedBy: kra_trusted_agent/archivedBy: CA/g" alpha.ldif
    4. マシン上のすべての Certificate System サーバーを停止します。
    5. NSS データベースをデータディレクトリーにコピーします。たとえば、7.1 KRA の場合は以下のようになります。 
      [root@oldkra ~]# cp -p /opt/redhat-cs/alias/cert-instance-kra-cert8.db /export/pki/cert8.db
	
[root@oldkra ~]# cp -p /opt/redhat-cs/alias/cert-instance-kra-key3.db /export/pki/key3.db

[root@oldkra ~]# cp -p /opt/redhat-cs/alias/secmod.db /export/pki/secmod.db
    6. KRATool を古い KRA インスタンスを持つマシンにコピーし、そのすべての依存関係をプルします。7.x システムの場合は、nsutil.jar ファイルおよび cmsutil.jar ファイルを含めます(これらのファイルは 8.0 システムですでに利用可能です)。以下に例を示します。 
      [root@oldkra ~]# mkdir -p /usr/share/pki/java-tools

[root@oldkra ~]# mkdir -p /usr/share/java/pki

[root@oldkra ~]# cd /usr/share/java/pki

[root@oldkra ~]# sftp root@newkra.example.com
sftp> cd /usr/share/java/pki
sftp> get nsutil.jar
sftp> get cmsutil.jar
sftp> get cstools.jar
sftp> lcd /usr/share/pki/java-tools
sftp> cd /usr/share/pki/java-tools
sftp> get KRATool.cfg
sftp> lcd /usr/bin
sftp> cd /usr/bin
sftp> get KRATool
sftp> quit
      重要
      マシンには Java 1.6.0 がインストールされている必要があります。
    7. 7.1 の KRA の場合。古い ldapjdk.jar ファイルから新しい 8.x の場所へのシンボリックリンクを作成します。 
      [root@oldkra ~]# ln -s /opt/redhat-cs/bin/cert/jars/ldapjdk.jar /usr/share/java/ldapjdk.jar
    8. データディレクトリーを開きます。 
      [root@oldkra ~]#cd /export/pki
    9. パブリックストレージキーを持つファイルを新しい KRA マシンから古い KRA マシンにコピーします。以下に例を示します。 
      [root@oldkra ~]# sftp root@newkra.example.com
sftp> cd /export/pki
sftp> get newKRA.cert
sftp> quit
    10. 必要に応じて、ツールで使用するデフォルトの KRATool.cfg ファイルを編集します。デフォルトのファイルは、変更せずに使用することもできます。
    11. KRATool を実行します。これらのパラメーターはすべて 1 行に指定する必要があります。 
      [root@oldkra ~]# KRATool -kratool_config_file "/usr/share/pki/java-tools/KRATool.cfg"
        -source_ldif_file /export/pki/rhcs80-pki-kra.ldif
        -target_ldif_file /export/pki/old2newKRA.ldif
        -log_file /export/pki/kratool.log
        -source_pki_security_database_path /export/pki
        -source_storage_token_name 'Internal Key Storage Token'
        -source_storage_certificate_nickname 'storageCert cert-pki-kra'
        -target_storage_certificate_file /export/pki/newKRA.cert
        -append_id_offset 100000000000
        -source_kra_naming_context "oldkra.example.com-pki-kra"
        -target_kra_naming_context "newkra.example.com-pki-kra"
        -process_requests_and_key_records_only
      このコマンドは、元のデータベースに保存されているトークンへのパスワードを要求します。
      これが完了すると、コマンドは -target_ldif_file,old2newKRA.ldif で指定されたファイルを作成します。
    12. LDIF ファイルを新しい KRA マシンにコピーします。以下に例を示します。 
      [root@oldkra ~]# scp /export/pki/old2newKRA.ldif root@newkra.example.com:/export/pki
      重要
      LDIF ファイルに、末尾に空白行が 1 つ含まれていることを確認してください。
  3. 複数の KRA インスタンスがマージされている場合は、それらのデータを 1 つのインポート操作にマージできます。マージされるすべての KRA に対して手順 2 を実行します。
    個別の LDIF ファイルを作成するには -target_ldif_file の一意の値を指定し、LDIF ファイルが連結されるときに競合が発生しないように、一意の -append_id_offset 値を指定します。
  4. 新しい KRA マシンで、古いキーデータを含む LDIF ファイルをインポートします。
    1. データディレクトリーを開きます。 
      [root@newkra ~]# cd /export/pki
    2. 新しい KRA 設定 LDIF ファイルと、古い KRA インスタンス用にエクスポートされたすべての LDIF を連結します。以下に例を示します。 
      [root@newkra ~]# cat newkra.ldif old2newKRA.ldif > combined.ldif
    3. LDIF を Certificate System 8.1 KRA インスタンスの Directory Server データベースにインポートします。 
      [root@newkra ~]# /usr/lib[64]/disrv/slapd-instanceName/ldif2db -n newkra.example.com-pki-kra -i /export/pki/combined.ldif
    4. 新しい KRA の Directory Server インスタンスを起動します。 
      [root@newkra ~]# service dirsrv start
    5. 新しい KRA を起動します。 
      [root@newkra ~]# service pki-kra start
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.