Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

13.7. アクセスバナーの使用

Certificate System では、管理者はカスタマイズ可能なテキストでバナーを設定できます。以下の状況ではバナーが表示されます。

Expand
アプリケーションバナーが表示されるタイミング

PKI コンソール

  • コンソールが表示される前に、
  • セッションが期限切れになる後。

Web インターフェイス

  • Web インターフェイスに接続する場合。
  • セッションの有効期限が切れた後。

pki コマンドラインユーティリティー

  • 実際の操作を開始する前。

バナーを使用すると、Certificate System を使用する前にユーザーに重要な情報を表示できます。続行するには、表示されたテキストに同意する必要があります。

例13.4 アクセスバナーの表示時

以下の例は、pki ユーティリティーを使用している場合にアクセスバナーが表示されるタイミングを示しています。 

$ pki cert-show 0x1

WARNING!
Access to this service is restricted to those individuals with
specific permissions. If you are not an authorized user, disconnect
now. Any attempts to gain unauthorized access will be prosecuted to
the fullest extent of the law.

Do you want to proceed (y/N)? y
-----------------
Certificate "0x1"
-----------------
  Serial Number: 0x1
  Issuer: CN=CA Signing Certificate,OU=instance_name,O=EXAMPLE
  Subject: CN=CA Signing Certificate,OU=instance_name,O=EXAMPLE
  Status: VALID
  Not Before: Mon Feb 20 18:21:03 CET 2017
  Not After: Fri Feb 20 18:21:03 CET 2037
Copy to Clipboard Toggle word wrap

13.7.1. アクセスバナーの有効化
リンクのコピー

アクセスバナーを有効にするには、/etc/pki/ instance_name/banner.txt ファイルを作成し、表示するテキストを入力します。

重要

/etc/pki/ instance_name/banner.txt ファイルのテキストは、UTF-8 形式を使用する必要があります。検証するには、「バナーの検証」 を参照してください。

13.7.2. アクセスバナーの無効化
リンクのコピー

アクセスバナーを無効にするには、/etc/pki/ instance_name/banner.txt ファイルを削除するか、または名前を変更します。以下に例を示します。 

# mv /etc/pki/ instance_name/banner.txt /etc/pki/ instance_name/banner.txt.UNUSED
Copy to Clipboard Toggle word wrap

13.7.3. バナーの表示
リンクのコピー

現在設定されているバナーを表示するには、次のコマンドを実行します。 

# pki-server banner-show -i instance_name
Copy to Clipboard Toggle word wrap

13.7.4. バナーの検証
リンクのコピー

バナーに無効な文字が含まれていないことを確認するには、次のコマンドを実行します。 

# pki-server banner-validate -i instance_name
---------------
Banner is valid
---------------
Copy to Clipboard Toggle word wrap

13.7.5. CMC の設定
リンクのコピー

このセクションでは、CMS (CMC) で証明書管理に Certificate System を設定する方法を説明します。

13.7.6. CMC の仕組み
リンクのコピー

CMC を設定する前に、以下のドキュメントを参照してこのトピックの詳細を確認してください。

13.7.7. PopLinkWittnessV2 機能の有効化
リンクのコピー

認証局 (CA) の高レベルのセキュリティーの場合は、/var/lib/pki/ instance_name/ca/conf/CS.cfg ファイルで以下のオプションを有効にします。 

cmc.popLinkWitnessRequired=true
Copy to Clipboard Toggle word wrap

13.7.8. CMC 共有シークレット機能の有効化
リンクのコピー

認証局 (CA) で共有トークン機能を有効にするには、以下を実行します。

  1. ホストでウォッチドッグサービスが有効になっている場合は、そのサービスを一時的に無効にします。「Watchdog サービスの無効化」を参照してください。

  2. Directory Server のスキーマに shrTok 属性を追加します。 

    # ldapmodify -D "cn=Directory Manager" -H ldaps://server.example.com:636 -W -x

dn: cn=schema
changetype: modify
add: attributetypes
attributetypes: ( 2.16.840.1.117370.3.1.123 NAME 'shrTok' DESC 'User
 Defined ObjectClass for SharedToken' SYNTAX 1.3.6.1.4.1.1466.115.121.1.40
 SINGLE-VALUE X-ORIGIN 'custom for sharedToken')
    Copy to Clipboard Toggle word wrap

  3. システムキーが Hardware Security Module (HSM) に保存されている場合は、/var/lib/pki/ instance_name/ca/conf/CS.cfg ファイルに cmc.token パラメーターを設定します。以下に例を示します。 

    cmc.token=NHSM-CONN-XC
    Copy to Clipboard Toggle word wrap

  4. 以下の方法のいずれかを使用して、共有トークン認証プラグインを有効にします。

    • pkiconsole ユーティリティーを使用してプラグインを有効にするには、次のコマンドを実行します。

      1. pkiconsole ユーティリティーを使用してシステムにログインします。以下に例を示します。 

        # pkiconsole https:host.example.com:8443/ca
        Copy to Clipboard Toggle word wrap
        注記

        pkiconsole は非推奨になりました。

      2. Configuration タブで、Authentication を選択します。
      3. Add をクリックして、SharedToken を選択します。
      4. Next をクリックします。

      5. 以下の情報を入力します。 

        Authentication InstanceID=SharedToken
shrTokAttr=shrTok
ldap.ldapconn.host=server.example.com
ldap.ldapconn.port=636
ldap.ldapconn.secureConn=true
ldap.ldapauth.bindDN=cn=Directory Manager
password=password
ldap.ldapauth.authtype=BasicAuth
ldap.basedn=ou=People,dc=example,dc=org
        Copy to Clipboard Toggle word wrap
      6. OK をクリックします。

    • プラグインを手動で有効にするには、以下の設定を /var/lib/pki/ instance_name/ca/conf/CS.cfg ファイルに追加します。 

      auths.impl.SharedToken.class=com.netscape.cms.authentication.SharedSecret
auths.instance.SharedToken.dnpattern=
auths.instance.SharedToken.ldap.basedn=ou=People,dc=example,dc=org
auths.instance.SharedToken.ldap.ldapauth.authtype=BasicAuth
auths.instance.SharedToken.ldap.ldapauth.bindDN=cn=Directory Manager
auths.instance.SharedToken.ldap.ldapauth.bindPWPrompt=Rule SharedToken
auths.instance.SharedToken.ldap.ldapauth.clientCertNickname=
auths.instance.SharedToken.ldap.ldapconn.host=server.example.com
auths.instance.SharedToken.ldap.ldapconn.port=636
auths.instance.SharedToken.ldap.ldapconn.secureConn=true
auths.instance.SharedToken.ldap.ldapconn.version=3
auths.instance.SharedToken.ldap.maxConns=
auths.instance.SharedToken.ldap.minConns=
auths.instance.SharedToken.ldapByteAttributes=
auths.instance.SharedToken.ldapStringAttributes=
auths.instance.SharedToken.pluginName=SharedToken
auths.instance.SharedToken.shrTokAttr=shrTok
      Copy to Clipboard Toggle word wrap

  5. /var/lib/pki/ instance_name/ca/conf/CS.cfg ファイルの ca.cert.issuance_protection.nickname パラメーターに RSA 発行保護証明書のニックネームを設定します。以下に例を示します。 

    ca.cert.issuance_protection.nickname=issuance_protection_certificate
    Copy to Clipboard Toggle word wrap

    このステップには以下が適用されます。

    • ca.cert.subsystem.nickname パラメーターで RSA 証明書を使用する場合はオプションです。
    • ca.cert.subsystem.nickname パラメーターで ECC 証明書を使用する場合は必須です。
    重要

    ca.cert.issuance_protection.nickname パラメーターが設定されていない場合、Certificate System は ca.cert.subsystem.nickname で指定されたサブシステムの証明書を自動的に使用します。ただし、発行保護証明書は RSA 証明書である必要があります。

  6. Certificate System を再起動します。 

    # systemctl restart pki-tomcatd@instance_name.service
    Copy to Clipboard Toggle word wrap

    CA が起動すると、Certificate System は Shared Token プラグインが使用する LDAP パスワードを要求します。

  7. この手順の最初に watchdog サービスを一時的に無効にした場合は、再度有効にします。「Watchdog サービスの有効化」 を参照してください。

13.7.9. Web ユーザーインターフェイスの CMCRevoke の有効化
リンクのコピー

Red Hat Certificate System 管理ガイドCMC 失効の実行 セクションで説明されているように、失効リクエストを送信する方法は 2 つあります。

CMCRevoke ユーティリティーを使用して、Web UI で送信される失効要求を作成する場合は、以下の設定を /var/lib/pki/ instance_name/ca/conf/CS.cfg ファイルに追加します。 

cmc.bypassClientAuth=true
Copy to Clipboard Toggle word wrap
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat