Red Hat Summit3.4. 更新を有効にするためのプロファイル設定
このセクションでは、証明書更新にプロファイルを設定する方法を説明します。
証明書を更新すると、元の証明書と同じ公開鍵を使用して証明書が再生成されます。証明書の更新は、単に新しい鍵を生成して新しい証明書をインストールするよりも望ましい場合があります。例えば、新しい CA 署名証明書を作成する場合、その CA が発行し署名したすべての証明書を再発行しなければなりません。CA 署名証明書が更新されても、すべての発行済み証明書は引き続き有効です。更新された証明書は元の証明書と同じで、更新された有効期間と有効期限のみになります。これにより、CA 署名証明書をはじめとする各種証明書の有効期限を処理する場合、証明書を更新することが非常にシンプルでクリーンな選択肢となります。
証明書の更新方法は、「証明書の更新」 を参照してください。
3.4.1. 更新プロセス
証明書を更新する方法は 2 つあります。
- 証明書を再生成する方法では、証明書の元の鍵、プロファイル、要求を取り出し、同一の鍵を使用して新しい有効期間と有効期限を持つ新しい証明書を再作成します。
- 証明書の鍵を再生成する方法では、元のプロファイルから同じ情報で証明書要求を送信して新しいキーペアを生成します。
更新を許可するプロファイルには、多くの場合 renewGracePeriodConstraint エントリーが付随します。以下に例を示します。
policyset.cmcUserCertSet.10.constraint.class_id=renewGracePeriodConstraintImpl policyset.cmcUserCertSet.10.constraint.name=Renewal Grace Period Constraint policyset.cmcUserCertSet.10.constraint.params.renewal.graceBefore=30 policyset.cmcUserCertSet.10.constraint.params.renewal.graceAfter=30 policyset.cmcUserCertSet.10.default.class_id=noDefaultImpl policyset.cmcUserCertSet.10.default.name=No Default
Renew Grace Period Constraint は、元の登録プロファイルに設定する必要があります。これは、証明書の有効期限の前後でユーザーによる証明書の更新を許可する期間を指定します。デフォルトのプロファイルにはこれらの例がいくつかあり、ほとんどの場合、デフォルトでは有効になっていません。このエントリーは必須ではありませんが、猶予期間が設定されていない場合、証明書の更新は有効期限が切れる当日のみ可能になります。
3.4.2. 同じ鍵を使用した更新
更新用に同じ鍵を送信できるプロファイルでは、uniqueKeyConstraint エントリーの allowSameKeyRenewal パラメーターが true に設定されています。以下に例を示します。
policyset.cmcUserCertSet.9.constraint.class_id=uniqueKeyConstraintImpl policyset.cmcUserCertSet.9.constraint.name=Unique Key Constraint policyset.cmcUserCertSet.9.constraint.params.allowSameKeyRenewal=true policyset.cmcUserCertSet.9.default.class_id=noDefaultImpl policyset.cmcUserCertSet.9.default.name=No Default
3.4.3. 新しい鍵を使用して更新する
新しい鍵で証明書を更新するには、新しい鍵で同じプロファイルを使用します。Certificate System は、新しい証明書の要求に署名するユーザー署名証明書の subjectDN を使用します。
