第13章 外部署名 CA 証明書の管理
Identity Management (IdM) は、さまざまな種類の認証局 (CA) 設定を提供します。IdM は、統合 CA または外部 CA を使用してインストールできます。インストール時に使用している CA の種類を指定する必要があります。ただし、一度インストールすれば、外部署名 CA から自己署名 CA (またはその逆) に移行することができます。また、自己署名 CA 証明書は自動的に更新されますが、外部署名 CA 証明書は必ず手動で更新する必要があります。外部署名 CA 証明書を管理するには、必要に応じて関連するセクションを参照してください。
外部署名 CA を使用した IdM のインストール:
- 外部署名 CA から自己署名 CA への切り替え
- 自己署名 CA から外部署名 CA への切り替え
- 外部署名 CA 証明書の更新
13.1. IdM での外部署名 CA から自己署名 CA への切り替え
この手順は、外部署名から、Identity Management (IdM) 認証局 (CA) の自己署名証明書に切り替えます。自己署名の CA の場合、CA 証明書の更新は自動的に管理されます。システム管理者は、外部認証局に証明書署名リクエスト (CSR) を提出する必要はありません。
外部署名から自己署名の CA へ切り替える場合は、CA 証明書を置き換えます。以前の CA が署名する証明書は有効のままで、今でも使用されています。たとえば、LDAP 証明書の証明書チェーンは、自己署名の CA に移動した後も変更されません。
external_CAcertificate >IdM CAcertificate >LDAPcertificate
前提条件
-
IdM CA 更新サーバーおよびすべての IdM クライアントとサーバーへの
rootアクセス権がある。
手順
IdM CA 更新サーバーで、CA 証明書を自己署名として更新します。
# ipa-cacert-manage renew --self-signed Renewing CA certificate, please wait CA certificate successfully renewed The ipa-cacert-manage command was successfulrootとして、残りのすべての IdM サーバーとクライアントにSSHで接続します。以下に例を示します。# ssh root@idmclient01.idm.example.comIdM クライアントで、サーバーからの証明書を使用して、ローカルの IdM 証明書データベースを更新します。
[idmclient01 ~]# ipa-certupdate Systemwide CA database updated. Systemwide CA database updated. The ipa-certupdate command was successful
検証
更新が成功し、新しい CA 証明書が
/etc/ipa/ca.crtファイルに追加されたかどうかを確認するには、次のコマンドを実行します。[idmclient01 ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout [...] Certificate: Data: Version: 3 (0x2) Serial Number: 39 (0x27) Signature Algorithm: sha256WithRSAEncryption Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority Validity Not Before: Jul 1 16:32:45 2019 GMT Not After : Jul 1 16:32:45 2039 GMT Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority [...]この出力は、新規 CA 証明書が古い CA 証明書と共にリストされているため、更新が正常に行われたことを示しています。
