26.2. IdM の内部の証明書
内部証明書は、IdM のインストール方法と、そのインストールに含まれるコンポーネントによって異なります。インストールによっては、以下の証明書がシステムに保存されている可能性があります。
IdM CA 認証
IdM CA 証明書は、その他のすべての証明書に署名するために IdM によって使用されます。CA なしのインストールには存在しないことに注意してください。
caSigningCert | 説明 |
---|---|
ファイルシステムの場所 |
|
LDAP の場所 |
|
Issuer | 自己署名または外部 CA により署名されている |
Subject |
これはデフォルト値ですが、IdM サーバーのインストール時にカスタマイズできることに注意してください。 |
関連情報 |
|
外部 CA 証明書
外部 CA を使用している場合は、IdM 証明書を検証するために IdM で外部 CA のチェーンが利用可能である必要があります。CA なしのインストールでは、HTTPD および LDAP 証明書を検証するために、LDAP や /etc/ipa/ca.crt
ディレクトリーを含むさまざまな場所に、外部 CA 証明書が存在する必要があります。
外部 CA 証明書はインストール中に自動的に追加されるため、必要なすべての場所に手動で追加する必要はありません。ただし、外部 CA 証明書を後で更新する場合は、外部 CA を使用した IdM CA 更新サーバー証明書の更新 の手順に従って、必要なすべての場所に新しい証明書を追加する必要があります。
外部証明書 | 説明 |
---|---|
ファイルシステムの場所 |
|
LDAP の場所 |
|
Issuer | 外部 CA 署名 |
Subject | 外部 CA サブジェクト |
関連情報 |
チェーン内のすべての証明書は DER 形式でなければならず、LDAP にインポートする必要があります。NSS データベースに |
サブシステム CA 証明書
この証明書は、LDAP データベースに書き込むときに LDAP サーバーへの認証に使用されます。この証明書は CA なしのインストールには存在しません。
subsystemCert | 説明 |
---|---|
ファイルシステムの場所 |
|
LDAP の場所 |
|
Issuer | IPA CA |
Subject |
|
関連情報 |
LDAP のシリアルとブロブの不一致に注意してください。たとえば、 |
監査署名証明書
この証明書は、監査ログの署名に使用されます。CA なしのインストールには存在しないことに注意してください。
auditSigningCert | 説明 |
---|---|
ファイルシステムの場所 |
|
LDAP の場所 |
専用の LDAP の場所はありません。 |
Issuer | IPA CA |
Subject |
|
関連情報 |
NSS データベースに |
OCSP 署名証明書
この証明書は、Online Certificate Status Protocol (OCSP) サービスを提供するために使用されます。CA なしのインストールには存在しないことに注意してください。
ocspSigningCert | 説明 |
---|---|
ファイルシステムの場所 |
|
LDAP の場所 |
専用の LDAP の場所はありません。 |
Issuer | IPA CA |
Subject |
|
関連情報 |
Tomcat サーブレット証明書
この証明書は、クライアントが PKI に接続する場合に使用されます。このサーバー証明書はホストに固有であり、CA なしのインストールには存在しないことに注意してください。
Server-Cert | 説明 |
---|---|
ファイルシステムの場所 |
|
LDAP の場所 | |
Issuer | IPA CA |
Subject | CN=$HOSTNAME,O=REALM.NAME |
関連情報 |
登録認証局の証明書
PKI に対して認証するために certmonger
と IdM フレームワークによって使用される証明書。たとえば、ipa cert-show 1
を実行すると、HTTPD は PKI と通信し、この証明書で認証します。CA なしのインストールには存在しません。
RA エージェント | 説明 |
---|---|
ファイルシステムの場所 |
|
LDAP の場所 |
|
Issuer | IPA CA |
Subject |
|
関連情報 |
LDAP のシリアルとブロブの不一致に注意してください。たとえば、 |
HTTPD フロントエンド証明書
HTTPD フロントエンドが Web UI および API への接続を保護するために使用する証明書。存在している必要があります。
HTTPD | 説明 |
---|---|
ファイルシステムの場所 |
|
LDAP の場所 | |
Issuer | CA なしのインストールでの IPA CA または外部 CA |
Subject |
|
関連情報 |
プリンシパル名を |
LDAP TLS および STARTTLS 証明書
LDAP TLS および STARTTLS 接続に使用される証明書。存在している必要があります。
LDAP | 説明 |
---|---|
ファイルシステムの場所 |
|
LDAP の場所 | |
Issuer | CA なしのインストールでの IPA CA または外部 CA |
Subject |
|
関連情報 |
プリンシパル名を |
KDC 証明書
IdM KDC の PKINIT に使用される証明書。
KDC | 説明 |
---|---|
ファイルシステムの場所 |
|
LDAP の場所 | |
Issuer | CA なしのインストールでの IPA CA または外部 CA |
Subject |
|
関連情報 |
プリンシパル名が |