Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

13.2. サブシステム証明書の更新

サブシステム証明書の更新の詳細は、「更新プロセス」 を参照してください。

サブシステム証明書を更新するプロセスは、ユーザー証明書を更新するプロセスと同じです。

システム証明書を更新するには、HttpClient ユーティリティーを使用するときに、対応する登録プロファイルを使用して要求を送信します。異なるシステム証明書プロファイルの詳細は、「システム証明書およびサーバー証明書の取得」 を参照してください。

13.2.1. certutil を使用した証明書の更新

certutil は、証明書データベースの既存のキーペアを使用して証明書要求を生成するために使用できます。その後、新しい証明書要求は、通常のプロファイルページで送信して CA で更新された証明書を発行できます。

注記

暗号化および署名証明書は単一のステップで作成されます。ただし、更新プロセスは一度に 1 つの証明書のみを更新します。

証明書ペアで両方の証明書を更新するには、各証明書を個別に更新する必要があります。

  1. トークンデータベースのパスワードを取得します。 

    # cat /var/lib/pki/instance_name/conf/password.conf

internal=263163888660

  2. 証明書を更新しているインスタンスの証明書データベースディレクトリーを開きます。 

    # cd /var/lib/pki/instance_name/alias

  3. 更新する証明書のキーとニックネームをリスト表示します。証明書を更新するには、生成に使用されるキーペアと、新しい証明書に指定されたサブジェクト名は、古い証明書の証明書と同じである必要があります。 

    # certutil -K -d .

certutil: Checking token "NSS Certificate DB" in slot "NSS User Private Key and Certificate Services"
Enter Password or Pin for "NSS Certificate DB":
< 0> rsa      69481646e38a6154dc105960aa24ccf61309d37d   caSigningCert cert-pki-tomcat CA

  4. alias ディレクトリーをバックアップとしてコピーし、証明書データベースから元の証明書を削除します。以下に例を示します。 

    # certutil -D -n "ServerCert cert-example" -d .

  5. 既存の証明書の値にオプションを設定して certutil コマンドを実行します。 

    # certutil -d . -R -n "NSS Certificate DB:cert-pki-tomcat CA" -s "cn=CA Authority,o=Example Domain" -a -o example.req2.txt

    新しい証明書とキーのペアの生成と証明書の更新の違いは、-n オプションの値です。新しいリクエストとキーのペアを生成するには、-k でキータイプを設定し、ビット長を設定する -g と組み合わせて使用します。更新要求では、-n オプションは証明書のニックネームを使用してセキュリティーデータベースに保存された既存のキーペアにアクセスします。

    パラメーターの詳細は、certutil(1) の man ページを参照してください。

  6. 「CMC を使用した証明書の要求と受信」 の説明に従って、証明書要求を送信して取得し、インストールします。

13.2.2. 期限切れの Certificate System サーバー証明書の更新

Certificate System は、PKI サーバーの実行中にサーバー証明書をオンラインで自動的に更新しません。一般に、管理者はシステム証明書が期限切れになる前に更新する必要があります。ただし、システム証明書の期限が切れると、Certificate System が起動できません。

期限切れ後にシステム証明書を更新するために、一時的なサーバー証明書をセットアップできます。

  1. システム証明書の有効期限が切れている場合は、以下を行います。

    1. 一時証明書を作成します。 

      # pki-server cert-create sslserver --temp

    2. Certificate System の Network Security Services (NSS) データベースに一時証明書をインポートします。 

      # pki-server cert-import sslserver

    3. Certificate System を開始します。 

      # pki-server start instance_name

  2. 証明書を表示し、期限切れのシステム証明書の ID をメモします。 

    # pki-server cert-find

  3. 新しい永続的な証明書を作成します。 

    # pki-server cert-create certificate_ID

  4. Certificate System を停止します。 

    # pki-server stop instance_name

  5. 新しい証明書をインポートして、期限切れの証明書を置き換えます。 

    # pki-server cert-import certificate_ID

  6. Certificate System を開始します。 

    # pki-server start instance_name
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat, Inc.