5.3. IdM のランダムなシリアル番号
Identity Management (IdM) は、すべての新しい RHEL 10 IdM インストールに対して、またはトポロジー内の別の CA が RSNv3 で設定されている場合、デフォルトで Random Serial Numbers バージョン 3 (RSNv3) を使用します。これは無効にできません。RHEL 10 は連続したシリアル番号をサポートしていないためです。
RSNv3 を使用する場合、IdM は PKI 内の証明書と要求に対して完全にランダムなシリアル番号を生成します。RSNv3 は、IdM を再インストールした場合の競合も阻止します。RSNv3 はシリアル番号に 128 ビットのランダムな値を使用するため、各証明書のシリアル番号のサイズは最大 40 桁の 10 進数値になります。これにより、数値は事実上ランダムになります。
以前、Dogtag アップストリームプロジェクトでは、複数のクローン間での一意性を確保するために、範囲ベースのシリアル番号を使用していました。ただし、この経験に基づいて、Dogtag チームは、範囲ベースのシリアル番号は、有効期間の短い証明書を使用するクラウド環境にはうまく適合しないと判断しました。
RSNv3 は、新しい IdM CA インストールでのみサポートされます。デフォルトでは、ipa-server-install
コマンドを使用してプライマリー IdM サーバーをインストールするときに、最初の IdM CA をインストールします。ただし、最初に CA なしで IdM 環境をインストールした場合は、後で ipa-ca-install
コマンドを使用して CA サービスを追加できます。RSNv3 を有効にするには、--random-serial-numbers
オプションを指定して、ipa-server-install
または ipa-ca-install
コマンドを使用します。
既存の CA サーバーが連続した番号を使用している混在環境では、連続した番号を使用しているサーバーをできるだけ早く置き換えることを推奨します。CA サーバーをすぐに移行できない場合は、すべての CA サーバーを正常に移行するまで、環境全体でプルーニングを無効にすることを推奨します。
有効にした場合、CA および Key Recovery Authority (KRA) を含む、デプロイメント内のすべての公開鍵インフラストラクチャー (PKI) サービスで RSNv3 を使用する必要があります。KRA のインストール時にチェックが実行され、基盤となる CA で RSNv3 が有効になっている場合は自動的に有効になります。