Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

3.2. 証明書プロファイルの設定

Certificate System では、登録プロファイルを追加、削除、および変更できます。

  • PKI コマンドラインインターフェイスの使用
  • プロファイル設定ファイルの直接編集 (インストール設定時にのみ推奨、計画、インストール、およびデプロイメントガイド (Common Criteria Edition) の第 11 章 証明書プロファイルの設定 を参照)

このセクションでは、pki CLI メソッドについて説明します。

3.2.1. pki コマンドラインインターフェイスを使用した証明書の登録プロファイルの管理

このセクションでは、pki ユーティリティーを使用して証明書プロファイルを管理する方法を説明します。詳細は、pki-ca-profile(1) の man ページを参照してください。

注記

RAW 形式の使用が推奨されます。プロファイルの各属性とフィールドの詳細は、計画、インストール、デプロイメントのガイド (Common Criteria Edition) の第 11 章 証明書プロファイルの設定 を参照してください。

3.2.2. 証明書プロファイルの有効化と無効化

証明書プロファイルを編集する前に、無効にする必要があります。変更が完了したら、プロファイルを再度有効にできます。

注記

CA エージェントのみが、証明書プロファイルを有効化および無効化できます。

  • たとえば、caCMCECserverCert 証明書プロファイルを無効にするには、以下を実行します。 

    # pki -c password -n caagent ca-profile-disable caCMCECserverCert

  • たとえば、caCMCECserverCert 証明書プロファイルを有効にするには、以下を実行します。 

    # pki -c password -n caagent ca-profile-enable caCMCECserverCert

3.2.2.1. raw 形式の証明書プロファイルの作成

新規プロファイルを raw 形式で作成するには、次のコマンドを実行します。 

# pki -c password -n caadmin ca-profile-add profile_name.cfg --raw
注記

raw 形式で、以下のように新しいプロファイル ID を指定します。 

profileId=profile_name

3.2.2.2. raw 形式の証明書プロファイルの編集

CA 管理者は、設定ファイルを手動でダウンロードせずに、raw 形式で証明書プロファイルを編集できます。

たとえば、caCMCECserverCert プロファイルを編集するには、以下を実行します。 

# pki -c password -n caadmin ca-profile-edit caCMCECserverCert

このコマンドは、プロファイル設定を raw 形式で自動的にダウンロードし、VI エディターで開きます。エディターを閉じると、サーバーでプロファイル設定が更新されます。

プロファイルの編集後に CA を再起動する必要はありません。

重要

プロファイルを編集する前に、プロファイルを無効にします。詳細は、「証明書プロファイルの有効化と無効化」 を参照してください。

例3.1 raw 形式の証明書プロファイルの編集

たとえば、ユーザーが提供する複数の拡張機能を許可するように caCMCserverCert プロファイルを編集するには、以下を実行します。

  1. CA エージェントであるプロファイルを無効にします。 

    # pki -c password -n caagemt ca-profile-disable caCMCserverCert

  2. プロファイルを CA 管理者として編集します。

    • VI エディターでプロファイルをダウンロードして開きます。 

      # pki -c password -n caadmin ca-profile-edit caCMCserverCert
    • 設定を更新して、拡張機能を受け入れます。詳細は、例B.3「CSR 内の複数の User Supplied 拡張」 を参照してください。

  3. プロファイルを CA エージェントとして有効にします。 

    # pki -c password -n caagent ca-profile-enable caCMCserverCert

3.2.2.3. 証明書プロファイルの削除

証明書プロファイルを削除するには、次のコマンドを実行します。 

# pki -c password -n caadmin ca-profile-del profile_name
重要

プロファイルを削除する前に、プロファイルを無効にします。詳細は、「証明書プロファイルの有効化と無効化」 を参照してください。

3.2.3. 証明書登録プロファイルのリスト表示

以下の事前定義済みの証明書プロファイルを使用し、Certificate System CA のインストール時にこの環境で使用できます。これらの証明書プロファイルは、最も一般的なタイプの証明書用に設計されており、一般的なデフォルト、制約、認証方法、入力、および出力を提供します。

サポート対象プロファイルのリストは、「CMC 認証プラグイン」 を参照してください。

コマンドラインで利用可能なプロファイルをリスト表示するには、pki ユーティリティーを使用します。以下に例を示します。 

# pki -c password -n caadmin ca-profile-find
-------------------
59 entries matched
-------------------
  Profile ID: caCMCserverCert
  Name: Server Certificate Enrollment using CMC
  Description: This certificate profile is for enrolling server certificates using CMC.

  Profile ID: caCMCECserverCert
  Name: Server Certificate wth ECC keys Enrollment using CMC
  Description: This certificate profile is for enrolling server certificates with ECC keys using CMC.

  Profile ID: caCMCECsubsystemCert
  Name: Subsystem Certificate Enrollment with ECC keys using CMC
  Description: This certificate profile is for enrolling subsystem certificates with ECC keys using CMC.

  Profile ID: caCMCsubsystemCert
  Name: Subsystem Certificate Enrollment using CMC
  Description: This certificate profile is for enrolling subsystem certificates using CMC.

-----------------------------------
Number of entries returned 20

詳細は、pki-ca-profile(1) の man ページを参照してください。計画、インストール、デプロイメントのガイド (Common Criteria Edition) の第 11 章 証明書プロファイルの設定 も参照してください。

3.2.4. 証明書登録プロファイルの詳細表示

たとえば、caECFullCMCUserSignedCert などの特定の証明書プロファイルを表示するには、次のコマンドを実行します。 

$ pki -c password -n caadmin ca-profile-show caECFullCMCUserSignedCert

-----------------------------------
Profile "caECFullCMCUserSignedCert"
-----------------------------------
  Profile ID: caECFullCMCUserSignedCert
  Name: User-Signed CMC-Authenticated User Certificate Enrollment
  Description: This certificate profile is for enrolling user certificates with EC keys by using the CMC certificate request with non-agent user CMC authentication.

  Name: Certificate Request Input
  Class: cmcCertReqInputImpl

    Attribute Name: cert_request
    Attribute Description: Certificate Request
    Attribute Syntax: cert_request

  Name: Certificate Output
  Class: certOutputImpl

    Attribute Name: pretty_cert
    Attribute Description: Certificate Pretty Print
    Attribute Syntax: pretty_print

    Attribute Name: b64_cert
    Attribute Description: Certificate Base-64 Encoded
    Attribute Syntax: pretty_print

たとえば、caECFullCMCUserSignedCert などの特定の証明書プロファイルを raw 形式で表示するには、次のコマンドを実行します。 

$ pki -c password -n caadmin ca-profile-show caECFullCMCUserSignedCert --raw

#Wed Jul 25 14:41:35 PDT 2018
auth.instance_id=CMCUserSignedAuth
policyset.cmcUserCertSet.1.default.params.name=
policyset.cmcUserCertSet.4.default.class_id=authorityKeyIdentifierExtDefaultImpl
policyset.cmcUserCertSet.6.default.params.keyUsageKeyCertSign=false
policyset.cmcUserCertSet.10.default.class_id=noDefaultImpl
policyset.cmcUserCertSet.10.constraint.name=Renewal Grace Period Constraint
output.o1.class_id=certOutputImpl

...

詳細は、pki-ca-profile(1) の man ページを参照してください。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.