6.5. Red Hat Directory Server のインストール
Certificate System は、Red Hat Directory Server を使用して、システム証明書とユーザーデータを保存します。Directory Server と Certificate System の両方を、ネットワーク内の同じまたは他のホストにインストールできます。
重要
Directory Server をインストールする前に、FIPS モードを RHEL ホストで有効にする必要があります。FIPS モードが有効になっていることを確認するには、以下を実行します。
# sysctl crypto.fips_enabled
返された値が 1 の場合は、FIPS モードが有効になります。
6.5.1. Certificate System 用の Directory Server インスタンスの準備
Red Hat Directory Server をインストールするには、以下の手順を実行します。
- Directory Server を提供するサブスクリプションがホストに登録されていることを確認してください。
- Directory Server リポジトリーを有効にします。
#
subscription-manager repos --enable=dirsrv-11-for-rhel-8-x86_64-rpms
- Directory Server および openldap-clients パッケージをインストールします。
#
dnf module install redhat-ds
#
dnf install openldap-clients
- Directory Server インスタンスを設定します。
- DS 設定ファイルを生成します (例:
/tmp/ds-setup.inf
)。$
dscreate create-template /tmp/ds-setup.inf
- DS 設定ファイルを次のようにカスタマイズします。
$ sed -i \ -e "s/;instance_name = .*/instance_name = localhost/g" \ -e "s/;root_password = .*/root_password = Secret.123/g" \ -e "s/;suffix = .*/suffix = dc=example,dc=com/g" \ -e "s/;create_suffix_entry = .*/create_suffix_entry = True/g" \ -e "s/;self_sign_cert = .*/self_sign_cert = False/g" \ /tmp/ds-setup.inf
setup
設定ファイルを指定して dscreate コマンドを使用してインスタンスを作成します。#
dscreate from-file /tmp/ds-setup.inf
詳細な手順は、『Red Hat Directory Server インストールガイド』 を参照してください。
6.5.2. Certificate System の設定の準備
「pkispawn ユーティリティーの概要」 では、Certificate System と Directory Server の間に TLS を設定することを選択した場合は、Certificate System をインストールする際に、
pkispawn
ユーティリティーに渡す設定ファイルで次のパラメーターを使用します。
注記
最初に基本的な TLS サーバー認証接続を作成する必要があります。最後に、インストール後、接続に戻り、クライアント認証証明書を Directory Server に提示する必要があります。クライアント認証が設定されていると、
pki_ds_password
は関連なくなります。
pki_ds_database=back_end_database_name pki_ds_hostname=host_name pki_ds_secure_connection=True pki_ds_secure_connection_ca_pem_file=path_to_CA_or_self-signed_certificate pki_ds_password=password pki_ds_ldaps_port=port pki_ds_bind_dn=cn=Directory Manager
pki_ds_database
パラメーターの値は、pkispawn
ユーティリティーによって使用される名前で、Directory Server インスタンスに対応するサブシステムデータベースを作成します。
pki_ds_hostname
パラメーターの値は、Directory Server インスタンスのインストール場所によって異なります。これは、「Certificate System 用の Directory Server インスタンスの準備」 で使用される値によって異なります。
pki_ds_secure_connection=True を設定する場合は、以下のパラメーターを設定する必要があります。
pki_ds_secure_connection_ca_pem_file
: Directory Server の CA 証明書のエクスポートされたコピーを含むファイルのファイル名を含む完全修飾パスを設定します。このファイルが先に存在していないと、pkispawn
は使用できません。pki_ds_ldaps_port
: Directory Server がリッスンしているセキュアな LDAPS ポートの値を設定します。デフォルトは 636 です。