9.2. CA のクローン作成

マスター CA を設定し、キーのバックアップを作成します。
マスター CA の CS.cfg ファイルで、ca.listenToCloneModifications パラメーターを追加して、マスター CA がレプリケーションデータベースの変更を監視できるようにします。
```
ca.listenToCloneModifications=true
```
```
ca.listenToCloneModifications=true
```
Copy to Clipboard
クローンサブシステムインスタンスを作成します。
CA サブシステムのクローン作成時に pkispawn で必要な設定ファイルの例は、pkispawn(8) の man ページの Installing a CA clone セクションおよび Installing a CA clone on the same host セクションを参照してください。
クローンが使用する Directory Server インスタンスを再起動します。
```
systemctl restart pki-tomcatd@kra-clone-ds-instance.service
```
```
# systemctl restart pki-tomcatd@kra-clone-ds-instance.service
```
Copy to Clipboard
注記
Directory Server を再起動すると、更新されたスキーマが再読み込みされます。これは、パフォーマンスを適切に行うために必要です。
クローンインスタンスを再起動します。
```
pki-server restart instance_name
```
```
# pki-server restart instance_name
```
Copy to Clipboard

クローンの設定後に、テストを実行して、master-clone 関係が機能していることを確認します。

クローン作成された CA から証明書を要求します。
要求を承認します。
ブラウザーに証明書をダウンロードします。
証明書を取り消します。
マスター CA の CRL で取り消された証明書を確認します。マスター Certificate Manager のエージェントサービスページで、Update Certificate Revocation List をクリックします。リストで CRL を検索します。
CRL には、クローン作成された Certificate Manager が失効した証明書が表示されます。証明書がリストにない場合は、ログを確認して問題を解決します。

トップに戻る