Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

9.5. マスターとクローンの変換

CRL を生成する 1 つのアクティブな CA のみが、同じトポロジー内に存在できます。同様に、CRL を受信する OCSP は 1 つだけ同じトポロジー内に存在できます。そのため、クローンはいくつでも存在できますが、CA および OCSP 用に設定されたマスターは 1 つだけです。

KRA と TKS の場合、マスターとクローンの間に設定の違いはありませんが、CA と OCSP にはいくつかの設定の違いがあります。これは、マスターがオフラインになった場合、障害やメンテナンスのため、または PKI 内のサブシステムの機能を変更するために、既存のマスターをクローンに再設定し、クローンの 1 つをマスターに昇格させなければならないことを意味します。

9.5.1. CA クローンおよびマスターの変換

  1. マスター CA が実行中の場合は停止します。

  2. 既存のマスター CA 設定ディレクトリーを開きます。 

    # cd /var/lib/pki/ instance_name/ca/conf
    Copy to Clipboard

  3. マスターの CS.cfg ファイルを編集し、CRL およびメンテナンススレッド設定をクローンとして設定します。

    • データベースメンテナンススレッドの制御を無効にします。 

      ca.certStatusUpdateInterval=0
      Copy to Clipboard

    • データベースのレプリケーション変更の監視を無効にします。 

      ca.listenToCloneModifications=false
      Copy to Clipboard

    • CRL キャッシュのメンテナンスを無効にします。 

      ca.crl.IssuingPointId.enableCRLCache=false
      Copy to Clipboard

    • CRL 生成を無効にします。 

      ca.crl.IssuingPointId.enableCRLUpdates=false
      Copy to Clipboard

    • CRL 要求を新規マスターにリダイレクトするように CA を設定します。 

      master.ca.agent.host=new_master_hostname
master.ca.agent.port=new_master_port
      Copy to Clipboard

  4. クローン作成された CA サーバーを停止します。 

    # pki-server stop instance_name
    Copy to Clipboard

  5. クローン CA の設定ディレクトリーを開きます。 

    # cd /etc/instance_name
    Copy to Clipboard

  6. CS.cfg ファイルを編集して、クローンを新規マスターとして設定します。

    1. ca.crl. 接頭辞で開始する各行を削除します。
    2. ca.crl. で始まる各行を、以前のマスター CA CS.cfg ファイルから、クローン作成された CA の CS.cfg ファイルにコピーします。

    3. データベースメンテナンススレッドの制御を有効にします。マスター CA のデフォルト値は 600 です。 

      ca.certStatusUpdateInterval=600
      Copy to Clipboard

    4. データベースのレプリケーションのモニタリングを有効にします。 

      ca.listenToCloneModifications=true
      Copy to Clipboard

    5. CRL キャッシュのメンテナンスを有効にします。 

      ca.crl.IssuingPointId.enableCRLCache=true
      Copy to Clipboard

    6. CRL 生成を有効にします。 

      ca.crl.IssuingPointId.enableCRLUpdates=true
      Copy to Clipboard

    7. CRL 生成要求のリダイレクト設定を無効にします。 

      master.ca.agent.host=hostname
master.ca.agent.port=port number
      Copy to Clipboard

  7. 新規マスター CA サーバーを起動します。 

    # pki-server start instance_name
    Copy to Clipboard

9.5.2. OCSP クローンの変換

  1. OCSP マスターが稼働している場合は停止します。

  2. 既存のマスター OCSP 設定ディレクトリーを開きます。 

    # cd /etc/instance_name
    Copy to Clipboard

  3. CS.cfg を編集し、OCSP.Responder.store.defStore.refreshInSec パラメーターを 21600 にリセットします。 

    OCSP.Responder.store.defStore.refreshInSec=21600
    Copy to Clipboard

  4. オンラインのクローン作成された OCSP サーバーを停止します。 

    # pki-server stop instance_name
    Copy to Clipboard

  5. クローン作成された OCSP レスポンダーの設定ディレクトリーを開きます。 

    # cd /etc/instance_name
    Copy to Clipboard

  6. CS.cfg ファイルを開き、OCSP.Responder.store.defStore.refreshInSec パラメーターを削除するか、その値をゼロ以外の数字に変更します。 

    OCSP.Responder.store.defStore.refreshInSec=15000
    Copy to Clipboard

  7. 新規マスター OCSP レスポンダーサーバーを起動します。 

    # pki-server start instance_name
    Copy to Clipboard
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat