Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

6.2. 証明書の取り消し

6.2.1. CMC の取り消し

CMS (CMC) 登録を介した Certificate Management と同様に、CMC 失効により、ユーザーは失効クライアントをセットアップし、一致する subjectDN 属性を使用するエージェント証明書またはユーザー証明書のいずれかを使用して失効要求に署名できます。これにより、ユーザーは署名済み要求を Certificate Manager に送信できます。

または、Shared Secret Token メカニズムを使用して CMC の失効を認証することもできます。詳細は、証明書失効用の証明書への CMC 共有シークレットの追加 を参照してください。

ユーザーまたはエージェントが要求に署名するかどうか、または Shared Secret Token が使用されているかどうかに関係なく、Certificate Manager は、有効な失効要求を受信すると、証明書を自動的に失効させます。

Certificate System は、CMC 失効要求用に以下のユーティリティーを提供します。

重要

Red Hat は、CMCRequest ユーティリティーを使用して、失効要求の生成を推奨します。これは、CMCRevoke よりも多くのオプションを提供するためです。

6.2.1.1. CMCRequest を使用した証明書の取り消し

CMCRequest を使用して証明書を取り消すには、以下を実行します。

  1. 以下の内容で、/home/user_name/cmc-request.cfg などの CMC 失効要求の設定ファイルを作成します。 

    #numRequests: Total number of PKCS10 requests or CRMF requests.
numRequests=1

#output: full path for the CMC request in binary format
output=/home/user_name/cmc.revoke.userSigned.req

#tokenname: name of token where user signing cert can be found
#(default is internal)
tokenname=internal

#nickname: nickname for user signing certificate which will be used
#to sign the CMC full request.
nickname=signer_user_certificate

#dbdir: directory for cert9.db, key4.db and pkcs11.txt
dbdir=/home/user_name/.dogtag/nssdb/

#password: password for cert9.db which stores the user signing
#certificate and keys
password=myPass

#format: request format, either pkcs10 or crmf.
format=pkcs10

## revocation parameters
revRequest.enable=true
revRequest.serial=45
revRequest.reason=unspecified
revRequest.comment=user test revocation
revRequest.issuer=issuer
revRequest.sharedSecret=shared_secret

  2. CMC 要求を作成します。 

    # CMCRequest /home/user_name/cmc-request.cfg

    コマンドが成功すると、CMCRequest ユーティリティーは、要求設定ファイルの output パラメーターで指定されたファイルに CMC 要求を保存します。

  3. /home/user_name/cmc-submit.cfg などの設定ファイルを作成します。このファイルは、後で CMC 失効要求を CA に送信します。作成されたファイルに以下の内容を追加します。 

    #host: host name for the http server
host=>server.example.com

#port: CA port number
port=8443

#secure: true for secure connection, false for nonsecure connection
secure=true

#input: full path for the enrollment request, the content must be
#in binary format
input=/home/user_name/cmc.revoke.userSigned.req

#output: full path for the response in binary format
output=/home/user_name/cmc.revoke.userSigned.resp

#tokenname: name of token where SSL client authentication certificate
#can be found (default is internal)
#This parameter will be ignored if secure=false
tokenname=internal

#dbdir: directory for cert9.db, key4.db and pkcs11.txt
#This parameter will be ignored if secure=false
dbdir=/home/user_name/.dogtag/nssdb/

#clientmode: true for client authentication, false for no client
#authentication. This parameter will be ignored if secure=false
clientmode=true

#password: password for cert9.db
#This parameter will be ignored if secure=false and clientauth=false
password=password

#nickname: nickname for client certificate
#This parameter will be ignored if clientmode=false
nickname=signer_user_certificate
    重要

    CMC 失効要求が署名されている場合は、secure および clientmode パラメーターを true に設定し、さらに nickname パラメーターを入力します。

  4. 要求に署名したユーザーに応じて、HttpClient の設定ファイルの servlet パラメーターを適切に設定する必要があります。

    • エージェントが要求に署名した場合は、以下を設定します。

      • RSA: servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caFullCMCUserCert
      • ECC: servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caECFullCMCUserCert

    • ユーザーが要求に署名した場合は、以下を設定します。

      • RSA: servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caFullCMCSharedTokenCert
      • ECC: servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caECFullCMCSharedTokenCert

  5. CMC 要求を送信します。 

    # HttpClient /home/user_name/cmc-submit.cfg

CMCRequest を使用して証明書を取り消す方法の詳細は、CMCRequest(1) の man ページを参照してください。

6.2.1.2. CMCRevoke を使用した証明書の取り消し

CMC 失効ユーティリティー CMCRevoke は、エージェントの証明書を使用して失効要求に署名するために使用されます。このユーティリティーは、必要な情報 (証明書のシリアル番号、発行者名、失効理由) を渡して取り消す証明書を識別し、次に失効を実行する CA エージェントを識別するための必要な情報 (証明書のニックネームと証明書のあるデータベース) を渡します。

注記

CMCRevoke を有効にする方法の詳細は、計画、インストール、デプロイメントのガイド (Common Criteria Edition) の 9.6.4「Web ユーザーインターフェイスの CMCRevoke の有効化セクション」を参照してください。

証明書が取り消される理由は、次のいずれかです (数値は、CMCRevoke に渡される値です)。

  • 0 - 指定無し
  • 1 - キーが侵害されました
  • 2 - CA キーが侵害されました
  • 3 - 従業員の所属が変更になりました
  • 4 - 証明書が置き換えられました
  • 5 - 運用停止
  • 6 - 証明書が保留中です
CMCRevoke のテスト

  1. 既存の証明書の CMC 失効要求を作成します。

    重要
    • 正しい構文では、引数とその値の間にスペースはありません。たとえば、26 のシリアル番号は -s 26 ではなく -s26 となります。
    • 値が含まれる特定の値は引用符で囲みます。たとえば -c"test comment" のようになります。 
    # CMCRevoke -d/path/to/AgentCertDb -pPasswordToDb -nNickname -iIssuerName -sDecimalSerialNumber -mReasonToRevoke -cComment*

    たとえば、エージェント証明書を含むディレクトリーが ~jsmith/.mozilla/firefox/、証明書のニックネームが AgentCert、証明書のシリアル番号が 22 の場合、コマンドは次のとおりです 

    # CMCRevoke -d"~jsmith/.mozilla/firefox/" -pPass -n"AgentCert" -i"cn=agentAuthMgr" -s22 -m0 -c"test comment"

  2. エンドエンティティーを開きます。 

    https://server.example.com:8443/ca/ee/ca
  3. Revocation タブを選択します。
  4. メニューの CMC Revoke リンクを選択します。
  5. CMCRevoke からの出力をテキストエリアにペーストします。
  6. ペーストしたコンテンツから -----BEGIN NEW CERTIFICATE REQUEST----- および ----END NEW CERTIFICATE REQUEST----- を削除します。
  7. Submit をクリックします。
  8. 返されたページで、正しい証明書が取り消されたことを確認できるはずです。

6.2.2. Web UI からエージェントとして取り消す

Certificate Manager エージェントは、エージェントサービスページを使用して、Certificate System が発行する特定の証明書を見つけるか、指定の基準に一致する証明書の一覧を取得できます。取得する証明書は、エージェントによって検査または取り消されます。Certificate Manager エージェントは、証明書失効リスト (CRL) も管理できます。

6.2.2.1. 証明書のリスト表示

シリアル番号の範囲内で証明書をリスト表示することができます。範囲内のすべての証明書が表示されるか、エージェントを選択した場合は、現在有効な証明書のみが表示されます。

特定の証明書を見つけるか、シリアル番号で証明書をリスト表示するには、以下を実行します。

  1. Certificate Manager エージェントサービスページを開きます。

  2. List Certificates をクリックします。

    cm8
    • 特定のシリアル番号を持つ証明書を検索するには、List Certificates フォームの上限フィールドと下限フィールドの両方にシリアル番号を 10 進数または 16 進数の形式で入力します。16 進数の先頭を示すには 0x を使用します (例: 0x00000006)。シリアル番号は、Search Results および Details ページに 16 進数で表示されます。
    • シリアル番号の範囲内にある証明書をすべて検索するには、シリアル番号の範囲の上限と下限を 10 進数または 16 進数の形式に入力します。

    制限または上限フィールドを空白のままにすると、指定された番号の証明書と、シーケンスの前または後のすべての証明書が表示されます。

  3. 返されたリストを有効な証明書に制限するには、フィルターメソッドでラベルが付けられたチェックボックスを選択します。失効した証明書を含めることも、有効ではない期限切れの証明書や証明書を追加したり、有効な証明書のみを表示したりできます。

  4. results ページで返される条件に一致する証明書の最大数を入力します。

    数値を入力すると、条件に一致する番号までの最初の証明書が表示されます。

  5. Find をクリックします。

    Certificate System は、検索条件に一致する証明書の一覧を表示します。リスト内の証明書を選択して詳細を確認し、さまざまな操作を実行します。詳細は、「証明書の詳細の調査」 を参照してください。

6.2.2.3. 証明書の詳細の調査

  1. エージェントサービスページで、List Certificates または Search for Certificates をクリックし、検索条件を指定して Find をクリックし、証明書のリストを表示します。

  2. Search Results フォームで、確認する証明書を選択します。

    必要な証明書が表示されない場合は、リストの下部までスクロールし、返される証明書数をさらに指定し、Find をクリックします。システムは、元の検索条件に一致する次の数まで、次の証明書を表示します。

  3. 証明書を選択したら、エントリーの左側にある Details ボタンをクリックします。

  4. Certificate ページには、選択した証明書の詳細と、サーバーまたは Web ブラウザーに証明書をインストールする手順が表示されます。

    図6.1 証明書の詳細

    cm11
  5. 証明書は、Certificate ページの下部にある Installing this certificate in a server という見出しの下に、base-64 でエンコードされた形式で表示されます。

6.2.2.4. 証明書の取り消し

Certificate Manager エージェントのみが、独自の証明書以外の証明書を取り消すことができます。以下のいずれかの状況が発生した場合は、証明書を取り消す必要があります。

  • 証明書の所有者はステータスを変更し、証明書を使用する権限がなくなりました。

  • 証明書の所有者の秘密鍵が侵害されました。 

    These two reasons are not the only ones why a certificate would need revoked; there are six reasons available for revoking a certificate.

1 つ以上の証明書を取り消すには、証明書の Revoke Certificates ボタンを使用して取り消す証明書を検索します。検索フォームは Search for Certificates フォームを介して検索と類似していますが、この検索で返される Search Results の形式により返される 1 つまたはすべての証明書を取り消すオプションが提供されます。

6.2.2.4.1. 証明書の取り消し
  1. Certificate Manager エージェントサービスページを開きます。

  2. Revoke Certificates をクリックします。

    注記

    表示される検索フォームには、Search for Certificates フォームと同じ検索条件セクションがあります。

  3. セクションのチェックボックスを選択して検索条件を指定し、必要な情報を入力します。
  4. フォームの下部までスクロールし、一致する証明書の数が表示されるように設定します。
  5. Find をクリックします。

  6. 検索は一致する証明書のリストを返します。リスト内の 1 つまたはすべての証明書を取り消すことができます。

    cm12
    ヒント

    検索条件が非常に固有で、返されたすべての証明書が取り消される場合は、ページ下部の Revoke ALL # Certificates ボタンをクリックします。ボタンに表示される数は、検索によって返される証明書の合計数です。通常、これは現在のページに表示される証明書の数よりも大きくなります。

    現在のページに表示されている証明書だけで なく、検索によって返されたすべての証明書を取り消す必要があることを確認します。

  7. 失効する証明書の横にある Revoke ボタンをクリックします。

    注意

    1 つの証明書を呼び出すか、証明書のリストを呼び出す場合でも、正しい証明書が選択されているか、リストに取り消される証明書のみが含まれていることに注意してください。失効操作が確認されたら、元に戻す方法はありません。

  8. 無効な日付を選択します。無効な日付は、ユーザーの秘密鍵が侵害された、または証明書が無効になったことを疑われる日付です。ドロップダウンリストのセットにより、エージェントが正しい無効な日付を選択できます。

    cm13

  9. 失効の理由を選択します。

    • 侵害された鍵
    • CA キーが侵害されました
    • 所属が変更
    • 証明書が置き換えられました
    • 運用停止
    • 証明書は保持中です
  10. 追加のコメントを入力します。コメントは失効リクエストに含まれます。

失効要求が送信されると、それは自動的に承認され、証明書は失効します。失効要求は、ステータスが Completed の要求をリスト表示して表示されます。

6.2.2.4.2. 証明書の保留を解除する

証明書にアクセスできないため、失効したものとして扱う必要がある場合がありますが、その証明書は回復できます。たとえば、あるユーザーがフラッシュドライブに保存されている個人の電子メール証明書を持っていて、それを誤って家に置いてしまった場合があります。証明書は侵害されていませんが、一時的に停止する必要があります。

この証明書は、保留にすることで一時的に失効することができます (「証明書の取り消し」 にあるように、証明書を取り消す際に指定できるオプションの 1 つ)。忘れたフラッシュドライブが取り出されたときなど、後でその証明書の保留を解除して、再びアクティブにすることができます。

  1. 「証明書の検索 (詳細)」 のとおり、保留中の証明書を検索します。Revocation Information セクションまでスクロールし、検索条件として失効理由を Certificate is on hold に設定します。

    take off hold1

  2. 結果リストで、証明書の Off Hold ボタンをクリックして保持します。

    take off hold

6.2.2.5. 証明書失効リストの管理

証明書を取り消すと、証明書が有効でなくなったことを他のユーザーに通知します。この通知は、証明書失効リスト (CRL) と呼ばれる certificate revocation list を LDAP ディレクトリーまたはフラットファイルに公開して行います。このリストは公開されているため、失効した証明書が正しく使用されていないことを確認してください。

6.2.2.5.1. CRL の表示または検証

最新の CRL でディレクトリーを手動で更新する前に、CRL を表示または検証する必要がある場合があります。CRL を表示または表示するには、以下を行います。

  1. Certificate Manager エージェントサービスページに移動します。
  2. Display Certificate Revocation List をクリックし、CRL を表示するフォームを表示します。
  3. 表示する CRL を選択します。管理者が複数の発行ポイントを作成した場合は、これらが Issuing point ドロップダウンリストにリスト表示されます。それ以外の場合は、マスター CRL のみが表示されます。

  4. Display Type メニューからオプションのいずれかを選択して、CRL を表示する方法を選択します。このメニューの選択は以下のとおりです。

    • Cached CRLCRL 自体からではなく、キャッシュから CRL を表示します。このオプションは、CRL 全体を表示するよりも速く結果を表示します。
    • Entire CRLCRL 全体を取得して表示します。
    • CRL headerCRL ヘッダーのみを取得して表示します。
    • Base 64 Encodedbase-64 でエンコードされた形式で CRL を取得し、表示します。
    • Delta CRLデルタ CRL を取得して表示します。デルタ CRL は、最後の CRL が公開されてから新しい失効のみを示す CRL のサブセットです。このオプションは、デルタ CRL の生成が有効になっている場合にのみ利用できます。

  5. 選択した CRL を確認するには、Display をクリックします。

    CRL がブラウザーウィンドウに表示されます。これにより、エージェントは特定の証明書が (シリアル番号で) リストに表示されているかどうかを確認し、最後の更新以降に取り消された証明書の総数、最後の更新以降に保留が解除された証明書の総数などの最近の変更を確認できます。、および最後の更新以降に有効期限が切れた証明書の総数。

6.2.2.5.2. CRL の更新

CRL の自動生成のスケジュールが有効になっている場合は、CRL を自動的に更新できます。スケジュールでは、設定された時間スケジュールで、または証明書の失効があるたびに CRL が生成されるように設定できます。

同様に、CRL 発行が有効になっている場合は、CRL も自動的に発行できます。

場合によっては、システムがダウンした後にリストを更新したり、期限切れの証明書を削除してファイルサイズを縮小したりするなど、CRL を手動で更新する必要があります。(期限切れの証明書は、有効期限のためにすでに無効になっているため、CRL に含める必要はありません。)Certificate Manager エージェントのみが CRL を手動で更新できます。

CRL を手動で更新するには:

  1. Certificate Manager エージェントサービスページを開きます。

  2. Update Revocation List をクリックして、CRL を更新するためのフォームを表示します。

    図6.2 証明書失効リストの更新

    cm14
  3. CRL を更新する CRL 発行ポイントを選択します。1 つの CA に対して複数の発行ポイントを設定できます。

  4. 新しい CRL の署名に使用するアルゴリズムを選択します。アルゴリズムを選択する前に、この CRL の読み取りまたは表示が必要なシステムまたはネットワークアプリケーションがそのアルゴリズムをサポートしていることを確認してください。

    • RSA (SHA-256)
    • RSA (SHA-384)

    • RSA (SHA 512)

      注記

      SHA1 はサポート対象外となりました。

    アルゴリズムを選択する前に、Certificate System でそのアルゴリズムが有効になっていることを確認してください。Certificate System 管理者には、その情報があります。

  5. Update をクリックして、最新の証明書失効情報で CRL を更新します。

6.2.3. Web UI を使用するユーザーとして独自の証明書を取り消す

証明書を取り消すと、有効期限が切れる前に証明書が無効になります。これは、証明書が失われたり、侵害されたり、不要になった場合に必要になることがあります。

6.2.3.1. ユーザー証明書を取り消す

  1. Revocation タブをクリックします。
  2. User Certificate のリンクをクリックします。

  3. 証明書が取り消される理由を選択し、Submit をクリックします。

    ca user revoke
  4. リストから取り消す証明書を選択します。

6.2.3.2. 証明書の失効を確認する

  1. Retrieval タブをクリックします。
  2. Import Certificate Revocation List リンクをクリックします。

  3. Check whether the following certificate is included in CRL cache または Check whether the following certificate is listed by CRL のラジオボタンを選択し、証明書のシリアル番号を入力します。

    ca crl1

  4. Submit ボタンをクリックします。

    メッセージは、証明書が CRL にリストされていないことを示すか、証明書が含まれる CRL の情報を提供します。

6.2.3.3. CRL のダウンロードとインポート

証明書失効リスト (CRL) をダウンロードして、Web クライアント、アプリケーション、またはマシンにインストールできます。それらは表示して、取り消された証明書を確認することもできます。

  1. Retrieval タブをクリックします。
  2. Import Certificate Revocation List リンクをクリックします。

  3. ラジオボタンを選択して、CRL を表示、ダウンロード、またはインポートします。

    ca crl1
    • CRL をブラウザーにインポートするか、ダウンロードして保存するには、適切なラジオボタンを選択します。完全な CRL またはデルタ CRL をダウンロード/インポートする方法は 2 つあります。デルタ CRL は、最後に CRL が生成されてから取り消された証明書のリストのみをインポート/ダウンロードします。

    • CRL を表示するには、Display the CRL information を選択し、表示する CRL サブセット (発行ポイント と呼ばれます) を選択します。これは、含まれる証明書の数を含む CRL 情報を示しています。

      ca crl3
  4. Submit ボタンをクリックします。
  5. ファイルを保存するか、インポート操作を承認します。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.