Red Hat Summit10.4. ハードウェアセキュリティーモジュール
このセクションでは、証明書を検出し、表示し、ハードウェア暗号化モジュール (HSM) にインポートする方法を説明します。
10.4.1. トークンの検出
Certificate System をインストールしたら、トークンを検出できるかどうかを確認するには、TokenInfo ユーティリティーを使用して、サブシステムインスタンスの エイリアス ディレクトリーを指定します。このツールは、Certificate System パッケージをインストールすると使用できます。
以下に例を示します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow このユーティリティーは、Certificate System にインストールされたトークンだけでなく、Certificate System で検出できるすべてのトークンを返します。
10.4.2. トークンの表示
Certificate System のインストール後にトークンのリストを表示するには、modutil ユーティリティーを使用します。
インスタンスの alias ディレクトリーに移動します。以下に例を示します。
cd /var/lib/pki/pki-tomcat/alias
# cd /var/lib/pki/pki-tomcat/aliasCopy to Clipboard Copied! Toggle word wrap Toggle overflow modutilツールを使用して、インストールされている PKCS #11 モジュールに関する情報と、対応するトークンに関する情報を表示します。modutil -dbdir . -nocertdb -list
# modutil -dbdir . -nocertdb -listCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.4.3. HSM への証明書のインポート
次に示す手順では、CSR の作成プロセスと同じ HSM トークンでキーが生成された、新しく発行された証明書 (TLS サーバー証明書の新規作成時など) を取得した後、証明書を HSM にインポートする方法を説明します。
Certificate System サーバーの場合、通常 pkispawn はインストール中にすべてのシステム証明書の作成とインポートを実行します。しかし、たとえばシステム証明書の 1 つを置き換える必要がある場合などにもこの手順は役立ちます。
ここでは、HSM にインポートする 4 種類の証明書の例を示します。
- サーバー証明書
- クライアント証明書
- オブジェクト署名証明書
- OCSP 応答署名証明書
開始する前に、ディレクトリーを nssdb に変更します。
cd /path/to/nssdb
# cd /path/to/nssdb以下に例を示します。
cd /var/lib/pki/pki-ca/alias
# cd /var/lib/pki/pki-ca/aliasこれらの手順の実行中に Web サービスがオフラインになり (停止、無効化など) し、他のプロセス (ブラウザーなど) による nssdb への同時アクセスがないことを確認します。これにより、nssdb が破損したり、これらの証明書の使用が不適切になる場合があります。
ルート証明書をインポートして信頼していない場合は、「ルート証明書のインポート」 を参照してください。中間証明書をインポートおよび検証していない場合は、「中間証明書チェーンのインポート」 を参照してください。
従う手順セットは、問題の証明書の使用により異なります。
- すべての PKI サブスキームの TLS サーバー証明書は、サーバー証明書の手順 に従います。
- サブシステムの監査署名証明書は、以下の手順に従って オブジェクト署名証明書 を検証します。
-
CA サブシステムの署名証明書は、上記の手順に従って 中間証明書チェーン をインポートして検証しますが、
caSigningCertでのみ行います。 - CA サブシステムの OCSP 署名証明書は、以下の手順に従って OCSP 証明書 を検証します。
- PKI サブシステムのその他のシステム証明書は、Client Certificate の手順 に従います。
以下の certutil オプションおよび PKICertImport オプションの詳細は、「certutil および PKICertImport」 を参照してください。
FIPS モードに設定されたシステムでは、PKICertImport が不要なエラーメッセージを返しますが、これは無視できます (BZ#1393668)。
certutil: could not change trust on certificate: SEC_ERROR_TOKEN_NOT_LOGGED_IN: The operation failed because the PKCS#11 token is not logged in. e: certutil returned non-zero value: 255 e: Unable to import certificate to NSS DB: ..
certutil: could not change trust on certificate: SEC_ERROR_TOKEN_NOT_LOGGED_IN: The operation failed because the PKCS#11 token is not logged in.
e: certutil returned non-zero value: 255
e: Unable to import certificate to NSS DB: ..サーバー証明書をインポートするには、以下を実行します。
PKICertImport -d . -h HSM -f password_file -n "host.name.example.com" -t ",," -a -i service.crt -u Vこのコマンドは、サーバー証明書を検証して HSM にインポートします。エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに
echo $?を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。通常、親証明書の有効期限または CA 信頼チェーンの欠落 (中間証明書の欠落や CA ルートの欠落など) が原因で、証明書の検証に失敗します。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。
クライアント証明書をインポートするには、以下を実行します。
PKICertImport -d . -h HSM -f password_file -n "client name" -t ",," -a -i client.crt -u Cこのコマンドは、クライアント証明書を HSM に検証し、インポートします。エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに
echo $?を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。
オブジェクト署名証明書をインポートするには、以下を実行します。
PKICertImport -d . -h HSM -f password_file -n "certificate name" -t ",,P" -a -i objectsigning.crt -u Jこのコマンドは、オブジェクト署名証明書を HSM に検証し、インポートします。エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに
echo $?を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。
OCSP 応答署名証明書をインポートするには、以下を実行します。
PKICertImport -d . -h HSM -f password_file -n "certificate name" -t ",," -a -i ocsp.crt -u Oこのコマンドは、OCSP レスポンダー証明書を HSM に検証し、インポートします。エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに
echo $?を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}