第20章 IdM での ACME サービスのデプロイと管理
この機能はテクノロジープレビューです。
Automated Certificate Management Environment (ACME) は、識別子の検証と証明書の発行の自動化に使用するプロトコルです。このプロトコルの目的は、証明書の有効期間を短縮し、証明書のライフサイクル管理における手動プロセスを回避することにより、セキュリティーを向上させることです。
RHEL Identity Management (IdM) を使用すると、管理者は 1 つのシステムから ACME サービストポロジー全体を簡単にデプロイおよび管理できます。
20.1. IdM の ACME サービス
この機能はテクノロジープレビューです。
現在、IdM は、Random Certificate Serial Numbers (RSNv3) が有効になっている RHEL 9.2 以降でのみ ACME をサポートします。
ACME は、チャレンジアンドレスポンス認証メカニズムを使用して、識別子がクライアントの制御下にあることを証明します。ACME では、識別子は、チャレンジを解決して証明書を取得するために使用される所有権の証明です。Identity Managemen (IdM) では、ACME は現在、次のチャレンジをサポートしています。
-
dns-01: 識別子が制御下にあることを証明するために、クライアントは DNS レコードを作成します。 -
http-01: 識別子が制御下にあることを証明するために、クライアントは HTTP リソースをプロビジョニングします。
IdM では、ACME サービスは PKI ACME レスポンダーを使用します。ACME のサブシステムは、IdM デプロイメント内のすべての CA サーバーに自動的にデプロイされますが、管理者が有効にするまでリクエストを処理しません。サーバーは ipa-ca.DOMAIN という名前を使用して検出されます。リクエストをラウンドロビン方式でサーバーに負荷分散するために、すべての IdM CA サーバーがこの DNS 名で登録されています。
管理者が ipa-server-upgrade コマンドを使用してサーバーをアップグレードすると、ACME もデプロイされますが、無効になります。
ACME は、Apache Tomcat 内で個別のサービスとして実行されます。ACME の設定ファイルは /etc/pki/pki-tomcat/acme に保存され、PKI は ACME 情報を /var/log/pki/pki-tomcat/acme/ に記録します。
IdM は、ACME 証明書を発行する際に acmeIPAServerCert プロファイルを使用します。発行された証明書の有効期間は 90 日です。そのため、期限切れの証明書が CA に蓄積されないように、これらを自動的に削除するように ACME を設定することを強く推奨します。期限切れの証明書が蓄積されると、パフォーマンスに悪影響が及ぶ可能性があります。
ACME クライアントはさまざまなものを使用できます。RHEL で使用する場合、選択したクライアントが dns-01 チャレンジと http-01 チャレンジのどちらかをサポートしている必要があります。現在、次のクライアントがテストされており、RHEL の ACME で動作することが確認されています。
-
http-01チャレンジとdns-01チャレンジの両方に対応するcertbot -
http-01チャレンジのみをサポートするmod_md
