7.7. 2 ステップインストール
インストール中に特定の設定パラメーターをカスタマイズするには、インストールプロセスを 2 つのステップで実行し、そのステップの間に設定を行う必要があります。このため、
pkispawn
ユーティリティーを使用すると、2 つの手順でサブシステムのインストールを実行できます。
7.7.1. 2 ステップインストールを使用するタイミング
次のようなシナリオでは、2 つのステップのインストールを使用します。
- セキュリティーの強化。
- サブシステム証明書のカスタマイズ。
- 既存の Certificate System に接続する新しい Certificate System インスタンスをインストールする場合に、
/etc/pki/instance_name/server.xml
ファイルのsslRangeCiphers
パラメーターの暗号リストをカスタマイズ。 - FIPS モードで CA クローン、KRA、OCSP、TKS、および TPS をインストールします。
- FIPS モードでハードウェアセキュリティーモジュール (HSM) を使用した Certificate System のインストール
7.7.2. 2 ステップインストールの 2 つの主要部分
2 ステップのインストールは、以下の 2 つの主要な部分で構成されます。
- インストールこのステップでは、
pkispawn
は、/usr/share/pki/
ディレクトリーから、インスタンス固有のディレクトリー/etc/pki/instance_name/
に設定ファイルをコピーします。さらに、pkispawn
は、デプロイメント設定ファイルで定義されている値に基づいて設定を行います。インストールのこの部分には、以下のサブステップが含まれます。 - 設定このステップでは、
pkispawn
インスタンス固有の/etc/pki/instance_name/
ディレクトリーの設定ファイルに基づいてインストールを続行します。インストールのこの部分には、以下のサブステップが含まれます。
7.7.3. インストールの最初ステップ用の設定ファイルの作成
/root/config.txt
などの設定用のテキストファイルを作成し、これを以下の設定で入力します。
重要
このセクションでは、Certificate System と同じホストで実行している Directory Server の最低限の設定を説明します。環境に応じて、追加パラメーターが必要になる場合があります。その他の例は、pkispawn(8) の man ページの 『EXAMPLES』 セクションを参照してください。
このセクションで説明するパラメーターの説明は、pki_default.cfg(5) の man ページを参照してください。
サブシステムに依存しない設定
インストールするサブシステムとは関係なく、設定ファイルには次の設定が必要です。
- Certificate System
admin
ユーザー、PKCS #12 ファイル、および Directory Server のパスワードを設定します。[DEFAULT] pki_admin_password=password pki_client_pkcs12_password=password pki_ds_password=password
- 同じホストで実行している Directory Server への LDAPS 接続を使用するには、設定ファイルの
[DEFAULT]
セクションに以下のパラメーターを追加します。pki_ds_secure_connection=True pki_ds_secure_connection_ca_pem_file=path_to_CA_or_self-signed_certificate
注記セキュリティー上の理由から、Red Hat は、Directory Server への暗号化された接続を使用することを推奨します。Directory Server で自己署名証明書を使用する場合は、以下のコマンドを使用して Directory Server の Network Security Services (NSS) データベースからエクスポートします。# certutil -L -d /etc/dirsrv/slapd-instance_name/ \ -n "server-cert" -a -o /root/ds.crt
重要
デフォルトでは、Certificate System は、インストール後に
~/.dogtag/instance_name/subsystem/alias
クライアントデータベースを削除します。セキュリティー上の理由から、Red Hat は、設定ファイルの pki_client_database_purge
パラメーターを有効にしないことを推奨します。このパラメーターを手動で True に設定した場合、Certificate System は、インストール後にクライアントデータベースを削除しません。
初期設定ファイルを作成したら、サブシステム固有の設定を追加します。以下を参照してください。
CA 設定
「サブシステムに依存しない設定」 に加え、CA をインストールするために以下の設定が必要になります。
- セキュリティーを強化するには、設定ファイルに以下が設定された
[CA]
を追加して、ランダムなシリアル番号を有効にします。[CA] pki_random_serial_numbers_enable=true
- 必要に応じて、
[CA]
セクションに以下のパラメーターを設定して、admin
ユーザーのデータを指定します。これは、インストール時に自動的に作成されます。pki_admin_nickname=caadmin pki_admin_name=CA administrator account pki_admin_password=password pki_admin_uid=caadmin pki_admin_email=caadmin@example.com
Certificate System は、このアカウントに管理者権限を割り当てます。インストール後にこのアカウントを使用して、Certificate System を管理し、さらにユーザーアカウントを作成します。 - Certificate System が一意のニックネームを生成できるようにするには、
[DEFAULT]
セクションで次のパラメーターを設定します。pki_instance_name=instance_name pki_security_domain_name=example.com Security Domain pki_host=server.example.com
重要ネットワーク共有ハードウェアセキュリティーモジュール (HSM) を使用して Certificate System をインストールする場合は、一意の証明書のニックネームを使用する必要があります。 - 必要に応じて、証明書の生成時に、RSA ではなく Elliptic Curve Cryptography (ECC) を使用するには、以下を実行します。
[DEFAULT]
セクションに以下のパラメーターを追加します。pki_admin_key_algorithm=SHA256withEC pki_admin_key_size=nistp256 pki_admin_key_type=ecc pki_sslserver_key_algorithm=SHA256withEC pki_sslserver_key_size=nistp256 pki_sslserver_key_type=ecc pki_subsystem_key_algorithm=SHA256withEC pki_subsystem_key_size=nistp256 pki_subsystem_key_type=ecc
[CA]
セクションに以下のパラメーターを追加します。pki_ca_signing_key_algorithm=SHA256withEC pki_ca_signing_key_size=nistp256 pki_ca_signing_key_type=ecc pki_ca_signing_signing_algorithm=SHA256withEC pki_ocsp_signing_key_algorithm=SHA256withEC pki_ocsp_signing_key_size=nistp256 pki_ocsp_signing_key_type=ecc pki_ocsp_signing_signing_algorithm=SHA256withEC
[CA]
セクションに以下のパラメーターを追加して、ECC プロファイルで RSA プロファイルを上書きします。pki_source_admincert_profile=/usr/share/pki/ca/conf/eccAdminCert.profile pki_source_servercert_profile=/usr/share/pki/ca/conf/eccServerCert.profile pki_source_subsystemcert_profile=/usr/share/pki/ca/conf/eccSubsystemCert.profile
他のサブシステムの設定
「サブシステムに依存しない設定」 に加え、下位 CA、KRA、OCSP、TKS、または TPS をインストールする必要があります。
- 以下のエントリーを設定ファイルの
[DEFAULT]
セクションに追加します。pki_client_database_password=password
- TPS をインストールしている場合は、以下を行います。
- 次のセクションに次のセクションを追加します。
[TPS] pki_authdb_basedn=basedn_of_the_TPS_authentication_database
- 必要に応じて、TPS が共有 CA インスタンスにすでにインストールされている KRA を利用してサーバー側のキー生成を使用するように設定するには、
[TPS]
セクションに次のエントリーを追加します。pki_enable_server_side_keygen=True
7.7.4. インストール手順の起動
「インストールの最初ステップ用の設定ファイルの作成」の説明に従って設定ファイルを準備したら、インストールの最初のステップを開始します。
# pkispawn -f /root/config.txt -s subsystem --skip-configuration
subsystem は、
CA
、KRA
、OCSP
、TKS
または TPS
のいずれかに置き換えます。
7.7.5. インストール手順間の設定のカスタマイズ
「インストール手順の起動」 で説明されているインストール手順が修了したら、実際の設定を開始する前に、インスタンス固有の設定ファイルを手動で更新できます。このセクションでは、インストールの最初のステップと 2 番目のステップの間でカスタマイズできるものの特定の例を示します。
7.7.5.1. 証明書プロファイルの設定
多くの場合、サイトは特定の証明書登録プロファイルをカスタマイズしたり (たとえば、証明書のデフォルトの有効期間を変更したり)、一部のプロファイルを追加/削除したいと思うでしょう。オプションの完全なリストは、16章証明書プロファイルの設定 を参照してください。
7.7.5.2. 署名監査ログの有効化
署名された監査ロギング機能を使用すると、承認されていないログ操作の検出が可能になります。詳細は、「署名監査ログの有効化および設定」 を参照してください。
7.7.5.3. 暗号リストの更新
特定の状況では、管理者が暗号のリストを更新する必要があります。以下に例を示します。
- Certificate System インスタンスのセキュリティーを保護するには
- Certificate System インスタンスをインストールし、特定の暗号のみをサポートする既存のサイトに追加するには
暗号リストの更新に関する詳細は、『Red Hat Certificate System 管理ガイド』 の該当するセクションを参照してください。
RSA 暗号化のデフォルトの FIPS モードが有効になっている暗号
デフォルトでは、Certificate System には、RSA 暗号化に以下の FIPS モードが有効な暗号が含まれます。
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA256
ECC 暗号化のデフォルトの FIPS モードが有効になっている暗号
デフォルトでは、Certificate System には、ECC (Elliptic Curve Cryptography) 暗号化に対して、以下の FIPS モードが有効な暗号が含まれます。
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA256
FIPS モードが有効になっているシステムで HSM を実行する際に必要な RSA 暗号
RSA で FIPS モードが有効になっているシステムに LunaSA または Hardware Security Module (HSM) のいずれかを使用した Certificate System をインストールする場合は、HSM ではサポートされていないため、以下の暗号を無効にします。
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
7.7.5.4. PKI コンソールタイムアウトの設定
PKI コンソールタイムアウトの設定に関する詳細は、「セッションのタイムアウト」 の該当するセクションを参照してください。
7.7.5.5. KRA の暗号化モードへの設定
Hardware Security Module (HSM) を使用している場合は、特定の状況で Key Recovery Authority (KRA) を暗号化モードに設定する必要があります。詳細は、「KRA の暗号化モードへの設定」 を参照してください。
7.7.5.6. OCSP の有効化
OCSP (Online Certificate Status Protocol) を有効にする方法は、「サブシステムの証明書失効チェックの有効化」 を参照してください。
7.7.5.7. リクエスト番号とシリアル番号の範囲の設定
リクエストおよびシリアル番号の範囲の設定に関する詳細は、「リクエスト番号とシリアル番号の範囲の設定」 を参照してください。
7.7.6. 設定手順の開始
「インストール手順間の設定のカスタマイズ」に従って設定ファイルをカスタマイズしたら、インストールの 2 つ目のステップを開始します。
# pkispawn -f /root/config.txt -s subsystem --skip-installation
subsystem は、
CA
、KRA
、OCSP
、TKS
または TPS
のいずれかに置き換えます。
設定手順に成功すると、
pkispawn
ユーティリティーにインストールの概要が表示されます。以下に例を示します。
================================================================ INSTALLATION SUMMARY ================================================================ Administrator's username: caadmin Administrator's PKCS #12 file: /root/.dogtag/instance_name/ca_admin_cert.p12 To check the status of the subsystem: systemctl status pki-tomcatd@instance_name.service To restart the subsystem: systemctl restart pki-tomcatd@instance_name.service The URL for the subsystem is: https://server.example.com:8443/ca/ PKI instances will be enabled upon system boot ================================================================
7.7.7. インストール後の設定
上記の手順を完了したら、インストール後の操作について 「インストール後のタスク」 に従ってください。