5.3. IdM のランダムなシリアル番号
RHEL 9.1 以降、Identity Management (IdM) には dogtagpki 11.2.0 が含まれており、これにより Random Serial Numbers バージョン 3 (RSNv3) を使用できるようになります。ansible-freeipa ipaserver ロールには、RHEL 9.3 アップデートの ipaserver_random_serial_numbers 変数が含まれています。
RSNv3 を有効にすると、IdM は範囲管理なしで PKI の証明書とリクエストに対して完全にランダムなシリアル番号を生成します。RSNv3 は、IdM を再インストールした場合の競合も阻止します。RSNv3 はシリアル番号に 128 ビットのランダムな値を使用するため、各証明書のシリアル番号のサイズは最大 40 桁の 10 進数値になります。これにより、数値は事実上ランダムになります。
以前、Dogtag アップストリームプロジェクトでは、複数のクローン間での一意性を確保するために、範囲ベースのシリアル番号を使用していました。ただし、この経験に基づいて、Dogtag チームは、範囲ベースのシリアル番号は、有効期間の短い証明書を使用するクラウド環境にはうまく適合しないと判断しました。
RSNv3 は、新しい IdM CA インストールでのみサポートされます。デフォルトでは、ipa-server-install コマンドを使用してプライマリー IdM サーバーをインストールするときに、最初の IdM CA をインストールします。ただし、最初に CA なしで IdM 環境をインストールした場合は、後で ipa-ca-install コマンドを使用して CA サービスを追加できます。RSNv3 を有効にするには、--random-serial-numbers オプションを指定して、ipa-server-install または ipa-ca-install コマンドを使用します。
有効にした場合、CA や Key Recovery Authority (KRA) を含む、デプロイメント内のすべての公開鍵インフラストラクチャー (PKI) サービスで RSNv3 を使用する必要があります。KRA のインストール時にチェックが実行され、基盤となる CA で RSNv3 が有効になっている場合は自動的に有効になります。
