9.5. ルールの作成
ルールは、どの場所にどの証明書オブジェクトを公開するかを決定します。ルールは、連携してではなく、独立して機能します。公開される証明書または CRL は、すべてのルールに対して照合されます。一致するルールはすべてアクティブになります。このようにして、ファイルベースのルール、OCSP ルール、およびディレクトリーベースのルールを照合することにより、同じ証明書または CRL をファイル、Online Certificate Status Manager、および LDAP ディレクトリーに公開できます。
ルールは、各オブジェクトタイプ (CA 証明書、CRL、ユーザー証明書、およびクロスペアの証明書) に設定できます。ルールは、さまざまな種類の証明書またはさまざまな種類の CRL についてより詳細にすることができます。
ルールは最初に、ルールに設定されたタイプと述語をオブジェクトと照合することにより、オブジェクトが一致するかどうかを判断します。一致するオブジェクトは、ルールに関連付けられたパブリッシャーとマッパーにより公開されます。
Certificate Manager が発行する証明書のタイプごとにルールが作成されます。
次の手順を実行して、公開ルールを変更します。
- Certificate Manager コンソールにログインします。
pkiconsole https://server.example.com:8443/ca
- Configuration タブで、左側のナビゲーションツリーから Certificate Manager を選択します。Publishing を選択し、Rules を選択します。設定したルールをリスト表示する Rules Management タブが右側で開きます。
- 既存のルールを編集するには、リストからそのルールを選択し、 をクリックします。これにより、Rule Editor ウィンドウが開きます。
- ルールを作成するには、 をクリックします。これにより、Select Rule Plug-in Implementation ウィンドウが開きます。
Rule モジュールを選択します。これは唯一のデフォルトモジュールです。カスタムモジュールが登録されている場合は、それらも利用できます。 - ルールを編集します。
- type。これは、ルールが適用される証明書のタイプです。CA 署名証明書の場合、値は cacert です。自己署名証明書の場合、値は xcert です。その他すべてのタイプの証明書の場合、値は certs です。CRL には crl を指定します。
- predicate。これにより、このルールが適用される証明書または CRL 発行ポイントのタイプに述語の値を設定します。CRL 発行ポイント、デルタ CRL、および証明書の述語値のリストは 表9.3「述語式」 に表示されます。
- enable。
- mapper。ファイルに公開する場合、マッパーは必要ありません。LDAP 公開にのみ必要です。このルールが LDAP ディレクトリーに公開されるパブリッシャーに関連付けられている場合は、ここに適切なマッパーを選択します。他のすべての形式の発行では空白のままにします。
- publisher。ルールに関連付けるパブリッシャーを設定します。
表9.3「述語式」 は、CRL 発行ポイントおよびデルタ CRL および証明書プロファイルを識別するために使用できる述語をリスト表示します。
| 述語タイプ | 述語 |
|---|---|
| CRL 発行ポイント |
issuingPointId==Issuing_Point_Instance_ID && isDeltaCRL==[true|false]
マスター CRL のみを公開するには、isDeltaCRL==false. を設定します。デルタ CRL のみを公開するには、isDeltaCRL==true を設定します。両方を公開するには、マスター CRL のルールとデルタ CRL の別のルールを設定します。
|
| 証明書プロファイル |
profileId==profile_name
使用するプロファイルに基づいて証明書を公開するには、profileId== を caServerCert などのプロファイル名に設定します。
|
注記
pkiconsole は非推奨になりました。
