Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

8.2. ECC RHCS インスタンスのインストール

7章Red Hat Certificate System のインストールと設定 で説明されているインストール手順例に従います。ただし、ECC に合わせて調整する必要があります。ECC インストール用に次の参照 pkispawn ファイルを提供しています。

8.2.1. RootCA

「RootCA の作成と設定 (パート I)」 でインストール手順の例を参照し、ECC インストールに合わせて調整します。

重要

RootCA のインストール後に、「OCSP (RootCA)」 を行う必要があります。これは、RootCA のロールユーザー証明書と TLS サーバー証明書に、OCSP インスタンスを指す AIA 拡張が含まれるようにするためです。その後、「RootCA の作成と設定 (パート II)」 の手順で RootCA の設定を完了します。 

[DEFAULT]
pki_instance_name=rhcs10-ECC-RootCA
pki_https_port=20443
pki_http_port=20080

### Crypto Token
pki_hsm_enable=True
pki_hsm_libfile=/opt/nfast/toolkits/pkcs11/libcknfast.so
pki_hsm_modulename=nfast
pki_token_name=NHSM-CONN-XC
pki_token_password=<YourHSMpassword>

pki_audit_signing_token=NHSM-CONN-XC
pki_audit_signing_key_algorithm=SHA512withEC
pki_audit_signing_key_size=nistp521
pki_audit_signing_key_type=ecc
pki_audit_signing_signing_algorithm=SHA512withEC

pki_subsystem_token=NHSM-CONN-XC
pki_subsystem_key_algorithm=SHA512withEC
pki_subsystem_signing_algorithm=SHA256withEC
pki_subsystem_key_size=nistp521
pki_subsystem_key_type=ecc

pki_sslserver_token=NHSM-CONN-XC
pki_sslserver_key_algorithm=SHA512withEC
pki_sslserver_signing_algorithm=SHA512withEC
pki_sslserver_key_size=nistp521
pki_sslserver_key_type=ecc

### Bootstrap Admin
pki_admin_password=SECret.123
pki_admin_key_type=ecc
pki_admin_key_size=nistp521
pki_admin_key_algorithm=SHA512withEC

### Bootstrap Admin client dir
### by default, if pki_client_dir, pki_client_database_dir,
### and pki_client_admin_cert_p12 are not specified, items will be placed
### under some default directories in /root/.dogtag
pki_client_admin_cert_p12=/opt/pki_ecc/rhcs10-ECC-RootCA/ca_admin_cert.p12
pki_client_database_dir=/opt/pki_ecc/rhcs10-ECC-RootCA/certs_db
pki_client_database_password=SECret.123
pki_client_dir=/opt/pki_ecc/rhcs10-ECC-RootCA
pki_client_pkcs12_password=SECret.123

### Internal LDAP
pki_ds_bind_dn=cn=Directory Manager
pki_ds_ldap_port=1389
pki_ds_ldaps_port=1636
pki_ds_password=SECret.123
pki_ds_remove_data=True
pki_ds_secure_connection=True
pki_ds_secure_connection_ca_pem_file=/opt/pki_ecc/temp-dirsrv-rootca-cert.pem
pki_ds_secure_connection_ca_nickname=DS temp CA certificate

### Security Domain
pki_security_domain_hostname=rhcs10.example.com
pki_security_domain_name=Example-rhcs10-ECC-RootCA
pki_security_domain_password=SECret.123


[Tomcat]
pki_ajp_port=20009
pki_tomcat_server_port=20005


[CA]
pki_import_admin_cert=False
pki_admin_nickname=PKI Bootstrap Administrator for ECC-RootCA
pki_admin_name=caadmin
pki_admin_uid=caadmin
pki_admin_email=caadmin@example.com

pki_ca_signing_token=NHSM-CONN-XC
pki_ca_signing_key_algorithm=SHA512withEC
pki_ca_signing_key_size=nistp384
pki_ca_signing_key_type=ecc
pki_ca_signing_nickname=CA Signing Cert - %(pki_instance_name)s
pki_ca_signing_signing_algorithm=SHA512withEC

pki_ocsp_signing_token=NHSM-CONN-XC
pki_ocsp_signing_key_algorithm=SHA512withEC
pki_ocsp_signing_key_size=nistp384
pki_ocsp_signing_key_type=ecc
pki_ocsp_signing_signing_algorithm=SHA512withEC

pki_ds_hostname=rhds11.example.com
pki_ds_base_dn=dc=ECC-RootCA
pki_ds_database=CC-ECC-RootCA-LDAP
pki_share_db=False

### Enable random serial numbers
pki_random_serial_numbers_enable=True
Copy to Clipboard

8.2.2. OCSP (RootCA)

「OCSP インスタンス (RootCA) の作成と設定」 でインストール手順の例を参照し、ECC インストールに合わせて調整します。

重要

RootCA の OCSP のインストールが完了したら、必ず 「RootCA の作成と設定 (パート II)」 に進みます。 

[DEFAULT]
pki_instance_name=rhcs10-ECC-OCSP-rootca
pki_https_port=34443
pki_http_port=34080

### Crypto Token
pki_hsm_enable=True
pki_hsm_libfile=/opt/nfast/toolkits/pkcs11/libcknfast.so
pki_hsm_modulename=nfast
pki_token_name=NHSM-CONN-XC
pki_token_password=<YourHSMpassword>

pki_audit_signing_token=NHSM-CONN-XC
pki_audit_signing_key_algorithm=SHA512withEC
pki_audit_signing_key_size=nistp521
pki_audit_signing_key_type=ecc
pki_audit_signing_signing_algorithm=SHA512withEC

pki_subsystem_token=NHSM-CONN-XC
pki_subsystem_key_algorithm=SHA512withEC
pki_subsystem_signing_algorithm=SHA256withEC
pki_subsystem_key_size=nistp521
pki_subsystem_key_type=ecc

pki_sslserver_token=NHSM-CONN-XC
pki_sslserver_key_algorithm=SHA512withEC
pki_sslserver_signing_algorithm=SHA512withEC
pki_sslserver_key_size=nistp521
pki_sslserver_key_type=ecc

### CA cert chain concatenated in PEM format
pki_cert_chain_path=/opt/pki_ecc/ca-chain.pem

### Bootstrap Admin
pki_admin_password=SECret.123
pki_admin_key_type=ecc
pki_admin_key_size=nistp521
pki_admin_key_algorithm=SHA512withEC

### Bootstrap Admin client dir
pki_client_admin_cert_p12=/opt/pki_ecc/rhcs10-ECC-OCSP-rootca/ocsp_admin_cert.p12
pki_client_database_dir=/opt/pki_ecc/rhcs10-ECC-OCSP-rootca/certs_db
pki_client_database_password=SECret.123
pki_client_database_purge=False
pki_client_dir=/opt/pki_ecc/rhcs10-ECC-OCSP-rootca
pki_client_pkcs12_password=SECret.123

### Internal LDAP
pki_ds_bind_dn=cn=Directory Manager
pki_ds_ldap_port=2389
pki_ds_ldaps_port=2636
pki_ds_password=SECret.123
pki_ds_remove_data=True
pki_ds_secure_connection=True
pki_ds_secure_connection_ca_pem_file=/opt/pki_ecc/ca-chain.pem
pki_ds_secure_connection_ca_nickname=CA Signing Cert - rhcs10-ECC-RootCA

### Security Domain
pki_security_domain_hostname=rhcs10.example.com
pki_security_domain_https_port=20443
pki_security_domain_password=SECret.123
pki_security_domain_user=caadmin


[Tomcat]
pki_ajp_port=34009
pki_tomcat_server_port=34005


[OCSP]
pki_import_admin_cert=False

pki_ocsp_signing_token=NHSM-CONN-XC
pki_ocsp_signing_key_algorithm=SHA512withEC
pki_ocsp_signing_key_size=nistp384
pki_ocsp_signing_key_type=ecc
pki_ocsp_signing_signing_algorithm=SHA512withEC

pki_admin_nickname=PKI Bootstrap Administrator for ECC-OCSP-rootca
pki_admin_name=ocspadmin
pki_admin_uid=ocspadmin
pki_admin_email=ocspadmin@example.com

pki_ds_hostname=rhds11.example.com
pki_ds_base_dn=dc=ECC-OCSP-rootca
pki_ds_database=CC-ECC-OCSP-rootca-LDAP
pki_share_db=False
Copy to Clipboard

8.2.3. SubCA

「SubCA の作成と設定 (パート I)」 でインストール手順の例を参照し、ECC インストールに合わせて調整します。

重要

SubCA のインストール後に、「OCSP (SubCA)」 を行う必要があります。これは、SubCA のロールユーザー証明書と TLS サーバー証明書に、OCSP インスタンスを指す AIA 拡張が含まれるようにするためです。その後、「SubCA の作成と設定 (パート II)」 の手順で SubCA の設定を完了します。 

[DEFAULT]
pki_instance_name=rhcs10-ECC-SubCA
pki_https_port=21443
pki_http_port=21080

### Crypto Token
pki_hsm_enable=True
pki_hsm_libfile=/opt/nfast/toolkits/pkcs11/libcknfast.so
pki_hsm_modulename=nfast
pki_token_name=NHSM-CONN-XC
pki_token_password=<YourHSMpassword>

pki_audit_signing_token=NHSM-CONN-XC
pki_audit_signing_key_algorithm=SHA512withEC
pki_audit_signing_key_size=nistp521
pki_audit_signing_key_type=ecc
pki_audit_signing_signing_algorithm=SHA512withEC

pki_subsystem_token=NHSM-CONN-XC
pki_subsystem_key_algorithm=SHA512withEC
pki_subsystem_signing_algorithm=SHA256withEC
pki_subsystem_key_size=nistp521
pki_subsystem_key_type=ecc

pki_sslserver_token=NHSM-CONN-XC
pki_sslserver_key_algorithm=SHA512withEC
pki_sslserver_signing_algorithm=SHA512withEC
pki_sslserver_key_size=nistp521
pki_sslserver_key_type=ecc

### CA cert chain concatenated in PEM format
pki_cert_chain_path=/opt/pki_ecc/ca-chain.pem

### Bootstrap Admin
pki_admin_password=SECret.123
pki_admin_key_type=ecc
pki_admin_key_size=nistp521
pki_admin_key_algorithm=SHA512withEC

### Bootstrap Admin client dir
pki_client_admin_cert_p12=/opt/pki_ecc/rhcs10-ECC-SubCA/ca_admin_cert.p12
pki_client_database_dir=/opt/pki_ecc/rhcs10-ECC-SubCA/certs_db
pki_client_database_password=SECret.123
pki_client_dir=/opt/pki_ecc/rhcs10-ECC-SubCA
pki_client_pkcs12_password=SECret.123

### Internal LDAP
pki_ds_bind_dn=cn=Directory Manager
pki_ds_ldap_port=8389
pki_ds_ldaps_port=8636
pki_ds_password=SECret.123
pki_ds_remove_data=True
pki_ds_secure_connection=True
pki_ds_secure_connection_ca_pem_file=/opt/pki_ecc/temp-dirsrv-subca-cert.pem
pki_ds_secure_connection_ca_nickname=DS temp CA certificate


[Tomcat]
pki_ajp_port=21009
pki_tomcat_server_port=21005


[CA]
pki_subordinate=True
pki_issuing_ca_https_port=20443
pki_issuing_ca_hostname=rhcs10.example.com
pki_issuing_ca=https://rhcs10.example.com:20443

### New Security Domain
pki_security_domain_hostname=rhcs10.example.com
pki_security_domain_https_port=20443
pki_security_domain_password=SECret.123
pki_subordinate_create_new_security_domain=True
pki_subordinate_security_domain_name=Example-rhcs10-ECC-SubCA

pki_import_admin_cert=False
pki_admin_nickname=PKI Bootstrap Administrator for ECC-SubCA
pki_admin_name=caadmin
pki_admin_uid=caadmin
pki_admin_email=caadmin@example.com

pki_ca_signing_token=NHSM-CONN-XC
pki_ca_signing_key_algorithm=SHA512withEC
pki_ca_signing_key_size=nistp384
pki_ca_signing_key_type=ecc
pki_ca_signing_nickname=CA Signing Cert - %(pki_instance_name)s
pki_ca_signing_signing_algorithm=SHA512withEC

pki_ocsp_signing_token=NHSM-CONN-XC
pki_ocsp_signing_key_algorithm=SHA512withEC
pki_ocsp_signing_key_size=nistp384
pki_ocsp_signing_key_type=ecc
pki_ocsp_signing_signing_algorithm=SHA512withEC

pki_ds_hostname=rhds11.example.com
pki_ds_base_dn=dc=ECC-SubCA
pki_ds_database=CC-ECC-SubCA-LDAP
pki_share_db=False

### Enable random serial numbers
pki_random_serial_numbers_enable=True
Copy to Clipboard

8.2.4. OCSP (SubCA)

インストール手順例は 「OCSP インスタンスの作成および設定 (SubCA)」 を参照してください。ただし、ECC インストールに合わせて調整します。

重要

SubCA の OCSP のインストールが完了したら、必ず 「SubCA の作成と設定 (パート II)」 に進みます。 

[DEFAULT]
pki_instance_name=rhcs10-ECC-OCSP-subca
pki_https_port=22443
pki_http_port=22080

### Crypto Token
pki_hsm_enable=True
pki_hsm_libfile=/opt/nfast/toolkits/pkcs11/libcknfast.so
pki_hsm_modulename=nfast
pki_token_name=NHSM-CONN-XC
pki_token_password=<YourHSMpassword>

pki_audit_signing_token=NHSM-CONN-XC
pki_audit_signing_key_algorithm=SHA512withEC
pki_audit_signing_key_size=nistp521
pki_audit_signing_key_type=ecc
pki_audit_signing_signing_algorithm=SHA512withEC

pki_subsystem_token=NHSM-CONN-XC
pki_subsystem_key_algorithm=SHA512withEC
pki_subsystem_signing_algorithm=SHA256withEC
pki_subsystem_key_size=nistp521
pki_subsystem_key_type=ecc

pki_sslserver_token=NHSM-CONN-XC
pki_sslserver_key_algorithm=SHA512withEC
pki_sslserver_signing_algorithm=SHA512withEC
pki_sslserver_key_size=nistp521
pki_sslserver_key_type=ecc

### CA cert chain concatenated in PEM format
pki_cert_chain_path=/opt/pki_ecc/ca-chain.pem

### Bootstrap Admin
pki_admin_password=SECret.123
pki_admin_key_type=ecc
pki_admin_key_size=nistp521
pki_admin_key_algorithm=SHA512withEC

### Bootstrap Admin client dir
pki_client_admin_cert_p12=/opt/pki_ecc/rhcs10-ECC-OCSP-subca/ocsp_admin_cert.p12
pki_client_database_dir=/opt/pki_ecc/rhcs10-ECC-OCSP-subca/certs_db
pki_client_database_password=SECret.123
pki_client_database_purge=False
pki_client_dir=/opt/pki_ecc/rhcs10-ECC-OCSP-subca
pki_client_pkcs12_password=SECret.123

### Internal LDAP
pki_ds_bind_dn=cn=Directory Manager
pki_ds_ldap_port=9389
pki_ds_ldaps_port=9636
pki_ds_password=SECret.123
pki_ds_remove_data=True
pki_ds_secure_connection=True
pki_ds_secure_connection_ca_pem_file=/opt/pki_ecc/ca-chain.pem
pki_ds_secure_connection_ca_nickname=CA Signing Cert - rhcs10-ECC-SubCA

### Security Domain
pki_security_domain_hostname=rhcs10.example.com
pki_security_domain_https_port=21443
pki_security_domain_password=SECret.123
pki_security_domain_user=caadmin


[Tomcat]
pki_ajp_port=22009
pki_tomcat_server_port=22005


[OCSP]
pki_import_admin_cert=False

pki_ocsp_signing_token=NHSM-CONN-XC
pki_ocsp_signing_key_algorithm=SHA512withEC
pki_ocsp_signing_key_size=nistp384
pki_ocsp_signing_key_type=ecc
pki_ocsp_signing_signing_algorithm=SHA512withEC

pki_admin_nickname=PKI Bootstrap Administrator for ECC-OCSP-subca
pki_admin_name=ocspadmin
pki_admin_uid=ocspadmin
pki_admin_email=ocspadmin@example.com

pki_ds_hostname=rhds11.example.com
pki_ds_base_dn=dc=ECC-OCSP-subca
pki_ds_database=CC-ECC-OCSP-subca-LDAP
pki_share_db=False
Copy to Clipboard

8.2.5. KRA

インストール手順例は 「KRA インスタンスの作成および設定」 を参照してください。ただし、ECC インストールに合わせて調整します。 

[DEFAULT]
pki_instance_name=rhcs10-ECC-KRA
pki_https_port=23443
pki_http_port=23080

### Crypto Token
pki_hsm_enable=True
pki_hsm_libfile=/opt/nfast/toolkits/pkcs11/libcknfast.so
pki_hsm_modulename=nfast
pki_token_name=NHSM-CONN-XC
pki_token_password=<YourHSMpassword>

pki_audit_signing_token=NHSM-CONN-XC
pki_audit_signing_key_algorithm=SHA512withEC
pki_audit_signing_key_size=nistp521
pki_audit_signing_key_type=ecc
pki_audit_signing_signing_algorithm=SHA512withEC

pki_subsystem_token=NHSM-CONN-XC
pki_subsystem_key_algorithm=SHA512withEC
pki_subsystem_signing_algorithm=SHA256withEC
pki_subsystem_key_size=nistp521
pki_subsystem_key_type=ecc

pki_sslserver_token=NHSM-CONN-XC
pki_sslserver_key_algorithm=SHA512withEC
pki_sslserver_signing_algorithm=SHA512withEC
pki_sslserver_key_size=nistp521
pki_sslserver_key_type=ecc

### CA cert chain concatenated in PEM format
pki_cert_chain_path=/opt/pki_ecc/ca-chain.pem

### Bootstrap Admin
pki_admin_password=SECret.123
pki_admin_key_type=ecc
pki_admin_key_size=nistp521
pki_admin_key_algorithm=SHA512withEC

### Bootstrap Admin client dir
pki_client_admin_cert_p12=/opt/pki_ecc/rhcs10-ECC-KRA/kra_admin_cert.p12
pki_client_database_dir=/opt/pki_ecc/rhcs10-ECC-KRA/certs_db
pki_client_database_password=SECret.123
pki_client_database_purge=False
pki_client_dir=/opt/pki_ecc/rhcs10-ECC-KRA
pki_client_pkcs12_password=SECret.123

### Internal LDAP
pki_ds_bind_dn=cn=Directory Manager
pki_ds_ldap_port=4389
pki_ds_ldaps_port=4636
pki_ds_password=SECret.123
pki_ds_remove_data=True
pki_ds_secure_connection=True
pki_ds_secure_connection_ca_pem_file=/opt/pki_ecc/ca-chain.pem
pki_ds_secure_connection_ca_nickname=CA Signing Cert - rhcs10-ECC-SubCA

### Security Domain
pki_security_domain_hostname=rhcs10.example.com
pki_security_domain_https_port=21443
pki_security_domain_password=SECret.123
pki_security_domain_user=caadmin


[Tomcat]
pki_ajp_port=23009
pki_tomcat_server_port=23005

[KRA]
pki_import_admin_cert=False

pki_storage_token=NHSM-CONN-XC
pki_storage_key_algorithm=SHA512withEC
pki_storage_key_size=nistp521
pki_storage_key_type=ecc
pki_storage_signing_algorithm=SHA512withEC

pki_transport_token=NHSM-CONN-XC
pki_transport_key_algorithm=SHA512withEC
pki_transport_key_size=nistp521
pki_transport_key_type=ecc
pki_transport_signing_algorithm=SHA512withEC

pki_admin_nickname=PKI Bootstrap Administrator for ECC-KRA
pki_admin_name=kraadmin
pki_admin_uid=kraadmin
pki_admin_email=kraadmin@example.com

pki_ds_hostname=rhds11.example.com
pki_ds_base_dn=dc=ECC-KRA
pki_ds_database=CC-ECC-KRA-LDAP
pki_share_db=False
Copy to Clipboard
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat