Red Hat Summit18.3. サブシステム証明書の更新
証明書を更新する方法は 2 つあります。証明書を 再生成 すると、元の鍵と元のプロファイルと要求を取得し、新しい有効期間と有効期限で同一の鍵を再作成します。証明書の キーを再入力 すると、最初の証明書要求が元のプロファイルに再送信されますが、新しいキーペアが生成されます。管理者証明書は、キーを再入力することで更新できます。
18.3.1. End-Entities 形式での証明書のキーの再設定
サブシステム証明書は、元の証明書のシリアル番号を使用して、エンドユーザー登録フォームで直接更新できます。
- 「証明書の更新」 の説明に従って、CA の end-entities 形式で証明書を更新します。これには、更新するサブシステム証明書のシリアル番号が必要です。
「Certificate System データベースへの証明書のインストール」 の説明に従って、証明書をサブシステムのデータベースにインポートします。証明書は、
certutilまたはコンソールを使用してインポートできます。以下に例を示します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow certutil -A -n "ServerCert cert-example" -t u,u,u -d /var/lib/pki/ instance_name/alias -a -i /tmp/example.cert
certutil -A -n "ServerCert cert-example" -t u,u,u -d /var/lib/pki/ instance_name/alias -a -i /tmp/example.cert
18.3.2. コンソールでの証明書の更新
Java サブシステムは管理コンソールを使用してサブシステム証明書を更新できます。このプロセスは、新しいサブシステム証明書を要求する (「コンソールを使用した証明書の要求」) のと同じですが、重要な違いの 1 つは新しい鍵を生成するのではなく、既存のキーペア を使用します。
図18.1 サブシステム証明書の更新
証明書を更新したら、データベース (「データベースからの証明書の削除」) から元の証明書を削除します。
18.3.3. certutil を使用した証明書の更新
certutil は、証明書データベースの既存のキーペアを使用して証明書要求を生成するために使用できます。その後、新しい証明書要求は、通常のプロファイルページで送信して CA で更新された証明書を発行できます。
暗号化および署名証明書は単一のステップで作成されます。ただし、更新プロセスは一度に 1 つの証明書のみを更新します。
証明書ペアで両方の証明書を更新するには、各証明書を個別に更新する必要があります。
トークンデータベースのパスワードを取得します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cat /var/lib/pki/ instance_name/conf/password.conf internal=263163888660
cat /var/lib/pki/ instance_name/conf/password.conf internal=263163888660証明書を更新しているインスタンスの証明書データベースディレクトリーを開きます。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cd /var/lib/pki/ instance_name/alias
cd /var/lib/pki/ instance_name/alias更新する証明書のキーとニックネームをリスト表示します。証明書を更新するには、生成に使用されるキーペアと、新しい証明書に指定されたサブジェクト名は、古い証明書の証明書と同じである必要があります。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow certutil -K -d .
# certutil -K -d . certutil: Checking token "NSS Certificate DB" in slot "NSS User Private Key and Certificate Services" Enter Password or Pin for "NSS Certificate DB": < 0> rsa 69481646e38a6154dc105960aa24ccf61309d37d caSigningCert cert-pki-tomcat CAaliasディレクトリーをバックアップとしてコピーし、証明書データベースから元の証明書を削除します。以下に例を示します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow certutil -D -n "ServerCert cert-example" -d .
certutil -D -n "ServerCert cert-example" -d .既存の証明書の値にオプションを設定して
certutilコマンドを実行します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow certutil -d . -R -n "NSS Certificate DB:cert-pki-tomcat CA" -s "cn=CA Authority,o=Example Domain" -a -o example.req2.txt
certutil -d . -R -n "NSS Certificate DB:cert-pki-tomcat CA" -s "cn=CA Authority,o=Example Domain" -a -o example.req2.txt新しい証明書とキーのペアの生成と証明書の更新の違いは、-n オプションの値です。新しいリクエストとキーのペアを生成するには、-k でキータイプを設定し、ビット長を設定する -g と組み合わせて使用します。更新要求では、-n オプションは証明書のニックネームを使用してセキュリティーデータベースに保存された既存のキーペアにアクセスします。
パラメーターの詳細は、
certutil(1)の man ページを参照してください。- 「証明書の要求および受信」 の説明に従って、証明書要求を送信して取得し、インストールします。
18.3.4. 期限切れの Certificate System サーバー証明書の更新
Certificate System は、PKI サーバーの実行中にサーバー証明書をオンラインで自動的に更新しません。一般に、管理者はシステム証明書が期限切れになる前に更新する必要があります。ただし、システム証明書の期限が切れると、Certificate System が起動できません。
期限切れ後にシステム証明書を更新するために、一時的なサーバー証明書をセットアップできます。
システム証明書の有効期限が切れている場合は、以下を行います。
一時証明書を作成します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow pki-server cert-create sslserver --temp
# pki-server cert-create sslserver --tempCertificate System の Network Security Services (NSS) データベースに一時証明書をインポートします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow pki-server cert-import sslserver
# pki-server cert-import sslserverCertificate System を開始します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow pki-server start instance_name
# pki-server start instance_name
証明書を表示し、期限切れのシステム証明書の ID をメモします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow pki-server cert-find
# pki-server cert-find新しい永続的な証明書を作成します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow pki-server cert-create certificate_ID
# pki-server cert-create certificate_IDCertificate System を停止します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow pki-server stop instance_name
# pki-server stop instance_name新しい証明書をインポートして、期限切れの証明書を置き換えます。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow pki-server cert-import certificate_ID
# pki-server cert-import certificate_IDCertificate System を開始します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow pki-server start instance_name
# pki-server start instance_name
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}