ホーム
製品
Red Hat Certificate System
10
インストールとデプロイメントの計画ガイド (Common Criteria 版)
第7章 Red Hat Certificate System のインストールと設定

第7章 Red Hat Certificate System のインストールと設定

Red Hat Certificate System は、個別にインストールできるさまざまなサブシステムを提供します。たとえば、複数のサブシステムインスタンスを 1 つのサーバーにインストールすることも、異なるホストで個別に実行することもできます。これにより、インストールを環境に合わせて適応させることができ、より高い可用性、スケーラビリティー、フェイルオーバーのサポートを提供することができます。

Common Criteria 評価環境では、Certificate System に次のサブシステムが含まれます。

認証局 (CA)
キーリカバリー認証局 (KRA)
OCSP (Online Certificate Status Protocol) レスポンダーの使用
トークンキーサービス (TKS)
トークン処理システム (TPS)

注記

TKS および TPS は TMS (トークン管理システム) 専用です。

各サブシステムは、スタンドアロン Tomcat Web サーバーインスタンスとして独立してインストールおよび設定されます。

重要

異なるサブシステム間の関係のため、個々のサブシステムがセットアップされる順序は重要です。

他の公開鍵インフラストラクチャー (PKI) サブシステムをインストールする前に、セキュリティードメインとして実行されている少なくとも 1 つの CA が必要です。
CA を設定した後、OCSP をインストールします。
CA と OCSP を設定した後、KRA サブシステムと TKS サブシステムを任意の順序でインストールできます。
TPS サブシステムは CA および TKS に依存し、任意で KRA サブシステムおよび OCSP サブシステムに依存します。

注記

TMS 以外のセットアップでは CA、OCSP、および KRA サブシステムをインストールでき、TMS セットアップでは CA、OCSP、KRA、TKS、および TPS をインストールできます。

注記

一般に、パスワードは、コマンドラインに入力するよりも、適切に保護されたファイルに保存する方が安全です。ただし、デモンストレーションをわかりやすくするために、このインストール手順の例ではパスワードをコマンドラインパラメーターとして指定する場合があります。

注記

インストール中、システムが起動して実行される前に、ファイルを直接編集してシステムを設定するように表示されます。ただし監査目的で、PKI 管理者は PKI インスタンスのインストール後に適切な CLI (該当する場合はデモンストレーションされたとおり) または pkiconsole (非推奨になる予定) を使用して PKI インスタンスを設定する必要があります。
次の例では、両方の方法が混在して使用されています。インストール後に使用を開始する前に、代替手段として CLI に慣れるためにいくつかのケースで CLI の例が示されています。

7.1. pkispawn セットアップの準備
リンクのコピー

次のセクションでは、RHEL 8.6 オペレーティングシステムで RSA コモンクライテリアを設定するための準備を説明します。

7.1.1. OS ユーザーとグループの作成
リンクのコピー

Red Hat Certificate System をインストールする場合は、pkiuser アカウントと対応する pkiuser グループは自動的に作成されます。Certificate System は、このアカウントとグループを使用してサービスを起動します。

このセクションでは、RHCS システムをホストする OS でのユーザーとグループの作成を説明します。この例では、rhcs10.example.com です。

pkiadmin は、このグループのユーザーが PKI ファイルにアクセスできるようにする OS レベルのグループです。このグループには、次のユーザーが含まれている必要があります。

pkiuser は、インストール時に PKI ファイルを所有し、インストール時に PKI プロセスを実行するデフォルトのユーザーです。
PKI/CS インスタンスの "Administrators" グループに属するメンバー。これらには、特定の PKI 設定ファイルにアクセスする必要がある場合があるため、pkiadmin OS メンバーシップが割り当てられます。インストール後の手順の一部として、OS 上でインスタンスを起動、停止、または直接設定できるように、各 Certificate System 管理者のオペレーティングシステムユーザーを作成するように指示されます。詳細は、「インストール後の設定」を参照してください。

Agents や Agents などの他の PKI ロールは、OS ファイルシステム上の PKI/CS ファイルに直接アクセスできないため、PKI/CS インスタンスを介してのみ認識および認証されます。

この例では、3 つの OS ユーザーを作成して、3 つの異なる PKI のロールを割り当てます。

jgenie (Jane Genie): root ではないこのユーザーは、OS の pkiadmin 管理者グループと PKI 管理者 グループに属しています。
jsmith (John Smith): OS 上にある root ではない通常のユーザーですが、PKI Agents グループに属しています。
aguru (Astrid Guru): OS 上にある root ではない、通常のユーザーですが、PKI Auditors グループに属しています。

手順:

OS 管理者グループ (例: pkiadmin) を作成します。
```
/usr/sbin/groupadd -r pkiadmin
```
```
# /usr/sbin/groupadd -r pkiadmin
```
Copy to Clipboard Toggle word wrap
OS ユーザーを作成します。
1. OS グループ pkiadmin に属する OS ユーザーを作成します (例:Jane Genie --jgenie)。この例では、このユーザーは PKI Administrator ユーザーとして機能します。
  # /usr/sbin/useradd -g pkiadmin -d /home/jgenie -s /bin/bash -c "Red Hat Certificate System Administrator Jane Genie" -m jgenie
  Copy to Clipboard Toggle word wrap
2. OS ユーザーを作成します (例:John Smith- jsmith)。この例では、このユーザーは PKI Agent ユーザーとして機能します。
  # /usr/sbin/useradd -c "Red Hat Certificate System Agent John Smith" -m jsmith
  Copy to Clipboard Toggle word wrap
3. OS ユーザーを作成します (例:Astrid Guru- aguru)。この例では、このユーザーは PKI Auditor ユーザーとして機能します。
  # /usr/sbin/useradd -c "Red Hat Certificate System Auditor Astrid Guru" -m aguru
  Copy to Clipboard Toggle word wrap
pkiuser を pkiadmin および nfast グループに関連付けます。
```
/usr/sbin/usermod -a -G pkiadmin pkiuser
```
```
# /usr/sbin/usermod -a -G pkiadmin pkiuser
```
Copy to Clipboard Toggle word wrap
```
/usr/sbin/usermod -a -G nfast pkiuser
```
```
# /usr/sbin/usermod -a -G nfast pkiuser
```
Copy to Clipboard Toggle word wrap
注記
Thales Luna HSM を使用する場合は、pkiuser を (nfast ではなく) hsmusers グループに関連付けます。
# /usr/sbin/usermod -a -G hsmusers pkiuser
Copy to Clipboard Toggle word wrap
Luna の制限の詳細は、「サポート対象のハードウェアセキュリティーモジュール」を参照してください。
この例のテストでは Entrust HSM を使用しているため、HSM デバイスを管理するユーザーを nfast グループに関連付けます。
```
/usr/sbin/usermod -a -G nfast jgenie
```
```
# /usr/sbin/usermod -a -G nfast jgenie
```
Copy to Clipboard Toggle word wrap
注記
ここでも Thales Luna HSM を使用する場合は、HSM デバイスを管理するユーザーを (nfast ではなく) hsmusers グループに関連付けます。以下に例を示します。
# /usr/sbin/usermod -a -G hsmusers jgenie
Copy to Clipboard Toggle word wrap
Luna の制限の詳細は、「サポート対象のハードウェアセキュリティーモジュール」を参照してください。

検証:

pkiuser と jgenie が属するグループをリスト表示します。
```
groups pkiuser jgenie
```
```
# groups pkiuser jgenie

pkiuser : pkiuser nfast pkiadmin

jgenie : pkiadmin nfast
```
Copy to Clipboard Toggle word wrap

注記

後で、SubCA のインストールが完了したら、特権機能を実行するために、これらの PKI ロールユーザーに対して個別に発行されたユーザー証明書を取得する方法を指示されます。

7.1.2. DS インスタンスのインストールと設定
リンクのコピー

2 番目のマシン (例: rhds11.example.com) に DS インスタンスをインストールして設定します。例として、次のインスタンスを作成します。

CC-RSA-RootCA-LDAP: RootCA インスタンスの内部データベース
CC-RSA-OCSP-rootca-LDAP: RootCA の OCSP インスタンスの内部データベース (オプション: 「RootCA の OCSP 用 DS インスタンスのインストール」を参照)
CC-RSA-SubCA-LDAP: SubCA の内部データベース
CC-RSA-OCSP-subca-LDAP: SubCA の OCSP インスタンスの内部データベース
CC-RSA-KRA-LDAP: KRA の内部データベース
CC-RSA-TKS-LDAP: TMS が対象の場合、このインスタンスは TKS の内部データベースおよび認証データベースとして機能します
CC-RSA-TPS-LDAP: TMS が対象の場合、このインスタンスは TPS の内部データベースおよび認証データベースとして機能します

重要

続行する前に、必ず 6章インストールの前提条件 に従ってください。

7.1.2.1. RootCA 用の DS インスタンスのインストール
リンクのコピー

DS インスタンス CC-RSA-RootCA-LDAP は、RootCA の内部データベースをホストします。それぞれ標準の LDAP/LDAPS ポート (389 と 636) を介してリッスンしています。

この例で使用されているポート番号は、「ファイアウォールにポートを追加して SELinux コンテキストを使用する」に記載されています。

rhds11.example.com の場合:

選択した場所 (例: /root/pki_rsa) に RootCA Directory Server インストールファイルを作成します。
```
vim /root/pki_rsa/rootca-ldap.cfg
```
```
# vim /root/pki_rsa/rootca-ldap.cfg

[general]
full_machine_name = rhds11.example.com

[slapd]
port = 389
secure_port = 636
instance_name = CC-RSA-RootCA-LDAP
root_password = SECret.123
self_sign_cert = True

[backend-userroot]
create_suffix_entry = True
suffix = dc=example,dc=com
```
Copy to Clipboard Toggle word wrap
重要
full_machine_name で Directory Server インスタンスをホストしているマシンの FQDN (「FQDN の設定」参照) を指定し、suffix が一致していることを確認してください。
オプション: 今後の参照用に他の設定オプションを表示するには、dscreate create-template コマンドを使用してテンプレートファイルを作成します。
```
dscreate create-template /root/pki_rsa/ldap-template.cfg
```
```
# dscreate create-template /root/pki_rsa/ldap-template.cfg
```
Copy to Clipboard Toggle word wrap

.cfg ファイルを使用してディレクトリーサーバーインスタンスをインストールします。

dscreate from-file /root/pki_rsa/rootca-ldap.cfg

# dscreate from-file /root/pki_rsa/rootca-ldap.cfg

Starting installation...

Completed installation for CC-RSA-RootCA-LDAP

Copy to Clipboard

Toggle word wrap

注記

デフォルトでは、新しい Directory Server インスタンスごとに、"Server-Cert" というニックネームを持つブートストラップ SSL サーバー証明書が一時的な使用のために作成されます。これは、"Self-Signed-CA" というニックネームを持つブートストラップ自己署名 CA 証明書によって発行されます。

/etc/dirsrv/slapd-CC-RSA-RootCA-LDAP/dse.ldif ファイルには nsslapd-security: on および nsSSLPersonalitySSL: Server-Cert があります。

検証:

確認するブートストラップ証明書を一覧表示します。

certutil -L -d /etc/dirsrv/slapd-CC-RSA-RootCA-LDAP/

# certutil -L -d /etc/dirsrv/slapd-CC-RSA-RootCA-LDAP/

Certificate Nickname                            Trust Attributes
                                                SSL,S/MIME,JAR/XPI
Self-Signed-CA                                  CT,,
Server-Cert                                     u,u,u

Copy to Clipboard

Toggle word wrap

証明書をエクスポートします。

certutil -L -d /etc/dirsrv/slapd-CC-RSA-RootCA-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-rootca-cert.pem

# certutil -L -d /etc/dirsrv/slapd-CC-RSA-RootCA-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-rootca-cert.pem

Copy to Clipboard

Toggle word wrap

証明書を rhcs10.example.com にコピーします。

scp /opt/pki_rsa/temp-dirsrv-rootca-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-rootca-cert.pem

# scp /opt/pki_rsa/temp-dirsrv-rootca-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-rootca-cert.pem

Copy to Clipboard

Toggle word wrap

たとえば、rhds11.example.com で次のコマンドを実行して、Directory Server マシンの LDAP サーバーのセットアップをテストします。

LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-rootca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:636 -b "dc=example,dc=com" -w SECret.123

# LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-rootca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:636 -b "dc=example,dc=com" -w SECret.123

Copy to Clipboard

Toggle word wrap

たとえば、rhcs10.example.com で次のコマンドを実行して、Certificate System マシンの LDAP サーバーのセットアップをテストします。

LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-rootca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:636 -b "dc=example,dc=com" -w SECret.123

# LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-rootca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:636 -b "dc=example,dc=com" -w SECret.123

Copy to Clipboard

Toggle word wrap

LDAP 検索は成功するはずです。以下に例を示します。

extended LDIF
LDAPv3
base <dc=example,dc=com> with scope subtree
filter: (objectclass=*)
requesting: ALL
example.com
search result
numResponses: 2
numEntries: 1

# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: dc=example,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Copy to Clipboard

Toggle word wrap

7.1.2.2. RootCA の OCSP 用 DS インスタンスのインストール
リンクのコピー

注記

一般的に、ルート CA は日常的な証明書発行には推奨されません。したがって、ルート CA の OCSP は必要ありません。次の例では、RootCA の OCSP はデモンストレーション目的でのみ提示されています。

DS インスタンス CC-RSA-OCSP-rootca-LDAP は、RootCA の OCSP の内部データベースをホストします。それぞれ標準の LDAP/LDAPS ポート (6389 と 6636) を介してリッスンしています。

この例で使用されているポート番号は、「ファイアウォールにポートを追加して SELinux コンテキストを使用する」に記載されています。

rhds11.example.com の場合:

選択した場所 (例: /root/pki_rsa) に RootCA の OCSP ディレクトリーサーバーインストールファイルを作成します。
```
vim /root/pki_rsa/ocsp-rootca-ldap.cfg
```
```
# vim /root/pki_rsa/ocsp-rootca-ldap.cfg

[general]
full_machine_name = rhds11.example.com

[slapd]
port = 6389
secure_port = 6636
instance_name = CC-RSA-OCSP-rootca-LDAP
root_password = SECret.123
self_sign_cert = True

[backend-userroot]
create_suffix_entry = True
suffix = dc=example,dc=com
```
Copy to Clipboard Toggle word wrap
重要
full_machine_name で Directory Server インスタンスをホストしているマシンの FQDN (「FQDN の設定」参照) を指定し、suffix が一致していることを確認してください。

.cfg ファイルを使用してディレクトリーサーバーインスタンスをインストールします。

dscreate from-file /root/pki_rsa/ocsp-rootca-ldap.cfg

# dscreate from-file /root/pki_rsa/ocsp-rootca-ldap.cfg

Starting installation...

Completed installation for CC-RSA-OCSP-rootca-LDAP

Copy to Clipboard

Toggle word wrap

注記

/etc/dirsrv/slapd-CC-RSA-OCSP-rootca-LDAP/dse.ldif ファイルには nsslapd-security: on および nsSSLPersonalitySSL: Server-Cert があります。

検証:

確認するブートストラップ証明書を一覧表示します。

certutil -L -d /etc/dirsrv/slapd-CC-RSA-OCSP-rootca-LDAP/

# certutil -L -d /etc/dirsrv/slapd-CC-RSA-OCSP-rootca-LDAP/

Certificate Nickname                            Trust Attributes
                                                SSL,S/MIME,JAR/XPI
Self-Signed-CA                                  CT,,
Server-Cert                                     u,u,u

Copy to Clipboard

Toggle word wrap

証明書をエクスポートします。

certutil -L -d /etc/dirsrv/slapd-CC-RSA-OCSP-rootca-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem

# certutil -L -d /etc/dirsrv/slapd-CC-RSA-OCSP-rootca-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem

Copy to Clipboard

Toggle word wrap

証明書を rhcs10.example.com にコピーします。

scp /opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem

# scp /opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem

Copy to Clipboard

Toggle word wrap

たとえば、rhds11.example.com で次のコマンドを実行して、Directory Server マシンの LDAP サーバーのセットアップをテストします。

LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:6636 -b "dc=example,dc=com" -w SECret.123

# LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:6636 -b "dc=example,dc=com" -w SECret.123

Copy to Clipboard

Toggle word wrap

たとえば、rhcs10.example.com で次のコマンドを実行して、Certificate System マシンの LDAP サーバーのセットアップをテストします。

LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:6636 -b "dc=example,dc=com" -w SECret.123

# LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:6636 -b "dc=example,dc=com" -w SECret.123

Copy to Clipboard

Toggle word wrap

LDAP 検索は成功するはずです。以下に例を示します。

extended LDIF
LDAPv3
base <dc=example,dc=com> with scope subtree
filter: (objectclass=*)
requesting: ALL
example.com
search result
numResponses: 2
numEntries: 1

# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: dc=example,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Copy to Clipboard

Toggle word wrap

7.1.2.3. SubCA の DS インスタンスのインストール
リンクのコピー

DS インスタンス CC-RSA-SubCA-LDAP は、SubCA の内部データベースをホストします。それぞれ LDAP/LDAPS ポート (7389 と 7636) を介してリッスンしています。

この例で使用されているポート番号は、「ファイアウォールにポートを追加して SELinux コンテキストを使用する」に記載されています。

rhds11.example.com の場合:

選択した場所 (例: /root/pki_rsa) に SubCA ディレクトリーサーバーインストールファイルを作成します。
```
vim /root/pki_rsa/subca-ldap.cfg
```
```
# vim /root/pki_rsa/subca-ldap.cfg

[general]
full_machine_name = rhds11.example.com

[slapd]
port = 7389
secure_port = 7636
instance_name = CC-RSA-SubCA-LDAP
root_password = SECret.123
self_sign_cert = True

[backend-userroot]
create_suffix_entry = True
suffix = dc=example,dc=com
```
Copy to Clipboard Toggle word wrap
重要
full_machine_name で Directory Server インスタンスをホストしているマシンの FQDN (「FQDN の設定」参照) を指定し、suffix が一致していることを確認してください。

.cfg ファイルを使用してディレクトリーサーバーインスタンスをインストールします。

dscreate from-file /root/pki_rsa/subca-ldap.cfg

# dscreate from-file /root/pki_rsa/subca-ldap.cfg

Starting installation...

Completed installation for CC-RSA-SubCA-LDAP

Copy to Clipboard

Toggle word wrap

注記

/etc/dirsrv/slapd-CC-RSA-SubCA-LDAP/dse.ldif ファイルには nsslapd-security: on および nsSSLPersonalitySSL: Server-Cert があります。

検証:

確認するブートストラップ証明書を一覧表示します。

certutil -L -d /etc/dirsrv/slapd-CC-RSA-SubCA-LDAP/

# certutil -L -d /etc/dirsrv/slapd-CC-RSA-SubCA-LDAP/

Certificate Nickname                            Trust Attributes
                                                SSL,S/MIME,JAR/XPI
Self-Signed-CA                                  CT,,
Server-Cert                                     u,u,u

Copy to Clipboard

Toggle word wrap

証明書をエクスポートします。

certutil -L -d /etc/dirsrv/slapd-CC-RSA-SubCA-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-subca-cert.pem

# certutil -L -d /etc/dirsrv/slapd-CC-RSA-SubCA-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-subca-cert.pem

Copy to Clipboard

Toggle word wrap

証明書を rhcs10.example.com にコピーします。

scp /opt/pki_rsa/temp-dirsrv-subca-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-subca-cert.pem

# scp /opt/pki_rsa/temp-dirsrv-subca-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-subca-cert.pem

Copy to Clipboard

Toggle word wrap

たとえば、rhds11.example.com で次のコマンドを実行して、Directory Server マシンの LDAP サーバーのセットアップをテストします。

LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-subca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:7636 -b "dc=example,dc=com" -w SECret.123

# LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-subca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:7636 -b "dc=example,dc=com" -w SECret.123

Copy to Clipboard

Toggle word wrap

たとえば、rhcs10.example.com で次のコマンドを実行して、Certificate System マシンの LDAP サーバーのセットアップをテストします。

LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-subca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:7636 -b "dc=example,dc=com" -w SECret.123

# LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-subca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:7636 -b "dc=example,dc=com" -w SECret.123

Copy to Clipboard

Toggle word wrap

LDAP 検索は成功するはずです。以下に例を示します。

extended LDIF
LDAPv3
base <dc=example,dc=com> with scope subtree
filter: (objectclass=*)
requesting: ALL
example.com
search result
numResponses: 2
numEntries: 1

# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: dc=example,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Copy to Clipboard

Toggle word wrap

7.1.2.4. SubCA の OCSP 用 DS インスタンスのインストール
リンクのコピー

DS インスタンス CC-RSA-OCSP-subca-LDAP は、SubCA の OCSP の内部データベースをホストします。それぞれ LDAP/LDAPS ポート (11389 と 11636) を介してリッスンしています。

この例で使用されているポート番号は、「ファイアウォールにポートを追加して SELinux コンテキストを使用する」に記載されています。

rhds11.example.com の場合:

選択した場所 (例: /root/pki_rsa) に SubCA の OCSP ディレクトリーサーバーインストールファイルを作成します。
```
vim /root/pki_rsa/ocsp-subca-ldap.cfg
```
```
# vim /root/pki_rsa/ocsp-subca-ldap.cfg

[general]
full_machine_name = rhds11.example.com

[slapd]
port = 11389
secure_port = 11636
instance_name = CC-RSA-OCSP-subca-LDAP
root_password = SECret.123
self_sign_cert = True

[backend-userroot]
create_suffix_entry = True
suffix = dc=example,dc=com
```
Copy to Clipboard Toggle word wrap
重要
full_machine_name で Directory Server インスタンスをホストしているマシンの FQDN (「FQDN の設定」参照) を指定し、suffix が一致していることを確認してください。

.cfg ファイルを使用してディレクトリーサーバーインスタンスをインストールします。

dscreate from-file /root/pki_rsa/ocsp-subca-ldap.cfg

# dscreate from-file /root/pki_rsa/ocsp-subca-ldap.cfg

Starting installation...

Completed installation for CC-RSA-OCSP-subca-LDAP

Copy to Clipboard

Toggle word wrap

注記

/etc/dirsrv/slapd-CC-RSA-OCSP-subca-LDAP/dse.ldif ファイルには nsslapd-security: on および nsSSLPersonalitySSL: Server-Cert があります。

検証:

確認するブートストラップ証明書を一覧表示します。

certutil -L -d /etc/dirsrv/slapd-CC-RSA-OCSP-subca-LDAP/

# certutil -L -d /etc/dirsrv/slapd-CC-RSA-OCSP-subca-LDAP/

Certificate Nickname                            Trust Attributes
                                                SSL,S/MIME,JAR/XPI
Self-Signed-CA                                  CT,,
Server-Cert                                     u,u,u

Copy to Clipboard

Toggle word wrap

証明書をエクスポートします。

certutil -L -d /etc/dirsrv/slapd-CC-RSA-OCSP-subca-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem

# certutil -L -d /etc/dirsrv/slapd-CC-RSA-OCSP-subca-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem

Copy to Clipboard

Toggle word wrap

証明書を rhcs10.example.com にコピーします。

scp /opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem

# scp /opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem

Copy to Clipboard

Toggle word wrap

たとえば、rhds11.example.com で次のコマンドを実行して、Directory Server マシンの LDAP サーバーのセットアップをテストします。

LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:11636 -b "dc=example,dc=com" -w SECret.123

# LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:11636 -b "dc=example,dc=com" -w SECret.123

Copy to Clipboard

Toggle word wrap

たとえば、rhcs10.example.com で次のコマンドを実行して、Certificate System マシンの LDAP サーバーのセットアップをテストします。

LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:11636 -b "dc=example,dc=com" -w SECret.123

# LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:11636 -b "dc=example,dc=com" -w SECret.123

Copy to Clipboard

Toggle word wrap

LDAP 検索は成功するはずです。以下に例を示します。

extended LDIF
LDAPv3
base <dc=example,dc=com> with scope subtree
filter: (objectclass=*)
requesting: ALL
example.com
search result
numResponses: 2
numEntries: 1

# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: dc=example,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Copy to Clipboard

Toggle word wrap

7.1.2.5. KRA 用 DS インスタンスのインストール
リンクのコピー

DS インスタンス CC-RSA-KRA-LDAP は、KRA の内部データベースをホストします。それぞれ LDAP/LDAPS ポート (22389 と 22636) を介してリッスンしています。

この例で使用されているポート番号は、「ファイアウォールにポートを追加して SELinux コンテキストを使用する」に記載されています。

rhds11.example.com の場合:

選択した場所 (例: /root/pki_rsa) に KRA ディレクトリーサーバーインストールファイルを作成します。
```
vim /root/pki_rsa/kra-ldap.cfg
```
```
# vim /root/pki_rsa/kra-ldap.cfg

[general]
full_machine_name = rhds11.example.com

[slapd]
port = 22389
secure_port = 22636
instance_name = CC-RSA-KRA-LDAP
root_password = SECret.123
self_sign_cert = True

[backend-userroot]
create_suffix_entry = True
suffix = dc=example,dc=com
```
Copy to Clipboard Toggle word wrap
重要
full_machine_name で Directory Server インスタンスをホストしているマシンの FQDN (「FQDN の設定」参照) を指定し、suffix が一致していることを確認してください。
.cfg ファイルを使用してディレクトリーサーバーインスタンスをインストールします。
```
dscreate from-file /root/pki_rsa/kra-ldap.cfg
```
```
# dscreate from-file /root/pki_rsa/kra-ldap.cfg

Starting installation...

Completed installation for CC-RSA-KRA-LDAP
```
Copy to Clipboard Toggle word wrap

注記

/etc/dirsrv/slapd-CC-RSA-KRA-LDAP/dse.ldif ファイルには nsslapd-security: on および nsSSLPersonalitySSL: Server-Cert があります。

検証:

確認するブートストラップ証明書を一覧表示します。

certutil -L -d /etc/dirsrv/slapd-CC-RSA-KRA-LDAP/

# certutil -L -d /etc/dirsrv/slapd-CC-RSA-KRA-LDAP/

Certificate Nickname                            Trust Attributes
                                                SSL,S/MIME,JAR/XPI
Self-Signed-CA                                  CT,,
Server-Cert                                     u,u,u

Copy to Clipboard

Toggle word wrap

証明書をエクスポートします。

certutil -L -d /etc/dirsrv/slapd-CC-RSA-KRA-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-kra-cert.pem

# certutil -L -d /etc/dirsrv/slapd-CC-RSA-KRA-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-kra-cert.pem

Copy to Clipboard

Toggle word wrap

証明書を rhcs10.example.com にコピーします。

scp /opt/pki_rsa/temp-dirsrv-kra-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-kra-cert.pem

# scp /opt/pki_rsa/temp-dirsrv-kra-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-kra-cert.pem

Copy to Clipboard

Toggle word wrap

たとえば、rhds11.example.com で次のコマンドを実行して、Directory Server マシンの LDAP サーバーのセットアップをテストします。

LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-kra-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:22636 -b "dc=example,dc=com" -w SECret.123

# LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-kra-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:22636 -b "dc=example,dc=com" -w SECret.123

Copy to Clipboard

Toggle word wrap

たとえば、rhcs10.example.com で次のコマンドを実行して、Certificate System マシンの LDAP サーバーのセットアップをテストします。

LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-kra-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:22636 -b "dc=example,dc=com" -w SECret.123

# LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-kra-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:22636 -b "dc=example,dc=com" -w SECret.123

Copy to Clipboard

Toggle word wrap

LDAP 検索は成功するはずです。以下に例を示します。

extended LDIF
LDAPv3
base <dc=example,dc=com> with scope subtree
filter: (objectclass=*)
requesting: ALL
example.com
search result
numResponses: 2
numEntries: 1

# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: dc=example,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Copy to Clipboard

Toggle word wrap

7.1.2.6. TKS 用 DS インスタンスのインストール
リンクのコピー

TMS が対象の場合は、TKS 内部データベースをホストするために、rhds11.example.com に DS インスタンスをインストールおよび設定します。Red Hat Directory Server は、それぞれ LDAP/LDAPS ポート (16389 および 16636) をリッスンしています。

注記

TMS は ECC ではサポートされていないことに注意してください。

rhds11.example.com の場合:

選択した場所 (例: /root/pki_rsa) に TKS ディレクトリーサーバーインストールファイルを作成します。
```
vim /root/pki_rsa/tks-ldap.cfg
```
```
# vim /root/pki_rsa/tks-ldap.cfg

[general]
full_machine_name = rhds11.example.com

[slapd]
port = 16389
secure_port = 16636
instance_name = CC-RSA-TKS-LDAP
root_password = SECret.123
self_sign_cert = True

[backend-userroot]
create_suffix_entry = True
suffix = dc=example,dc=com
```
Copy to Clipboard Toggle word wrap
重要
full_machine_name で Directory Server インスタンスをホストしているマシンの FQDN (「FQDN の設定」参照) を指定し、suffix が一致していることを確認してください。
.cfg ファイルを使用してディレクトリーサーバーインスタンスをインストールします。
```
dscreate from-file /root/pki_rsa/tks-ldap.cfg
```
```
# dscreate from-file /root/pki_rsa/tks-ldap.cfg

Starting installation...

Completed installation for CC-RSA-TKS-LDAP
```
Copy to Clipboard Toggle word wrap

注記

/etc/dirsrv/slapd-CC-RSA-TKS-LDAP/dse.ldif ファイルには nsslapd-security: on および nsSSLPersonalitySSL: Server-Cert があります。

検証:

確認するブートストラップ証明書を一覧表示します。

certutil -L -d /etc/dirsrv/slapd-CC-RSA-TKS-LDAP/

# certutil -L -d /etc/dirsrv/slapd-CC-RSA-TKS-LDAP/

Certificate Nickname                            Trust Attributes
                                                SSL,S/MIME,JAR/XPI
Self-Signed-CA                                  CT,,
Server-Cert                                     u,u,u

Copy to Clipboard

Toggle word wrap

証明書をエクスポートします。

certutil -L -d /etc/dirsrv/slapd-CC-RSA-TKS-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-tks-cert.pem

# certutil -L -d /etc/dirsrv/slapd-CC-RSA-TKS-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-tks-cert.pem

Copy to Clipboard

Toggle word wrap

証明書を rhcs10.example.com にコピーします。

scp /opt/pki_rsa/temp-dirsrv-tks-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-tks-cert.pem

# scp /opt/pki_rsa/temp-dirsrv-tks-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-tks-cert.pem

Copy to Clipboard

Toggle word wrap

たとえば、rhds11.example.com で次のコマンドを実行して、Directory Server マシンの LDAP サーバーのセットアップをテストします。

LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-tks-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:16636 -b "dc=example,dc=com" -w SECret.123

# LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-tks-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:16636 -b "dc=example,dc=com" -w SECret.123

Copy to Clipboard

Toggle word wrap

たとえば、rhcs10.example.com で次のコマンドを実行して、Certificate System マシンの LDAP サーバーのセットアップをテストします。

LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-tks-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:16636 -b "dc=example,dc=com" -w SECret.123

# LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-tks-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:16636 -b "dc=example,dc=com" -w SECret.123

Copy to Clipboard

Toggle word wrap

LDAP 検索は成功するはずです。以下に例を示します。

extended LDIF
LDAPv3
base <dc=example,dc=com> with scope subtree
filter: (objectclass=*)
requesting: ALL
example.com
search result
numResponses: 2
numEntries: 1

# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: dc=example,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Copy to Clipboard

Toggle word wrap

7.1.2.7. TPS 用 DS インスタンスのインストール
リンクのコピー

TMS が対象の場合は、TPS 内部データベースをホストするために、rhds11.example.com に DS インスタンスをインストールおよび設定します。Red Hat Directory Server は、LDAP/LDAPS ポート (それぞれ 17389 および 17636) をリッスンしています。

rhds11.example.com の場合:

選択した場所 (例: /root/pki_rsa) に TPS ディレクトリーサーバーインストールファイルを作成します。
```
vim /root/pki_rsa/tps-ldap.cfg
```
```
# vim /root/pki_rsa/tps-ldap.cfg

[general]
full_machine_name = rhds11.example.com

[slapd]
port = 17389
secure_port = 17636
instance_name = CC-RSA-TPS-LDAP
root_password = SECret.123
self_sign_cert = True

[backend-userroot]
create_suffix_entry = True
suffix = dc=example,dc=com
```
Copy to Clipboard Toggle word wrap
重要
full_machine_name で Directory Server インスタンスをホストしているマシンの FQDN (「FQDN の設定」参照) を指定し、suffix が一致していることを確認してください。
.cfg ファイルを使用してディレクトリーサーバーインスタンスをインストールします。
```
dscreate from-file /root/pki_rsa/tps-ldap.cfg
```
```
# dscreate from-file /root/pki_rsa/tps-ldap.cfg

Starting installation...

Completed installation for CC-RSA-TPS-LDAP
```
Copy to Clipboard Toggle word wrap

注記

/etc/dirsrv/slapd-CC-RSA-TPS-LDAP/dse.ldif ファイルには nsslapd-security: on および nsSSLPersonalitySSL: Server-Cert があります。

検証:

確認するブートストラップ証明書を一覧表示します。

certutil -L -d /etc/dirsrv/slapd-CC-RSA-TPS-LDAP/

# certutil -L -d /etc/dirsrv/slapd-CC-RSA-TPS-LDAP/

Certificate Nickname                            Trust Attributes
                                                SSL,S/MIME,JAR/XPI
Self-Signed-CA                                  CT,,
Server-Cert                                     u,u,u

Copy to Clipboard

Toggle word wrap

証明書をエクスポートします。

certutil -L -d /etc/dirsrv/slapd-CC-RSA-TPS-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-tps-cert.pem

# certutil -L -d /etc/dirsrv/slapd-CC-RSA-TPS-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-tps-cert.pem

Copy to Clipboard

Toggle word wrap

証明書を rhcs10.example.com にコピーします。

scp /opt/pki_rsa/temp-dirsrv-tps-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-tps-cert.pem

# scp /opt/pki_rsa/temp-dirsrv-tps-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-tps-cert.pem

Copy to Clipboard

Toggle word wrap

たとえば、rhds11.example.com で次のコマンドを実行して、Directory Server マシンの LDAP サーバーのセットアップをテストします。

LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-tps-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:17636 -b "dc=example,dc=com" -w SECret.123

# LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-tps-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:17636 -b "dc=example,dc=com" -w SECret.123

Copy to Clipboard

Toggle word wrap

たとえば、rhcs10.example.com で次のコマンドを実行して、Certificate System マシンの LDAP サーバーのセットアップをテストします。

LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-tps-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:17636 -b "dc=example,dc=com" -w SECret.123

# LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-tps-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:17636 -b "dc=example,dc=com" -w SECret.123

Copy to Clipboard

Toggle word wrap

LDAP 検索は成功するはずです。以下に例を示します。

extended LDIF
LDAPv3
base <dc=example,dc=com> with scope subtree
filter: (objectclass=*)
requesting: ALL
example.com
search result
numResponses: 2
numEntries: 1

# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: dc=example,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Copy to Clipboard

Toggle word wrap

7.1.3. CS と内部 LDAP サーバー間の TLS 認証を有効にする
リンクのコピー

このセクションでは、Certificate System のインストールに進む前に、TLS 認証に関する一般的な情報を説明します。完全なサンプルインストールファイルを使用した実際の手順は、後のセクションで説明します。

「DS インスタンスのインストールと設定」で示した例では、TLS 認証をサポートする LDAP インスタンスを設定するように指示されました。以下では、CS と DS が TLS 経由で通信できるように、Certificate System のインストール時に pkispawn ユーティリティーに渡す設定ファイル内のパラメーターを説明します。

pki_ds_database=back_end_database_name
pki_ds_hostname=host_name
pki_ds_secure_connection=True
pki_ds_secure_connection_ca_pem_file=path_to_CA_or_self-signed_certificate
pki_ds_password=password
pki_ds_ldaps_port=port
pki_ds_bind_dn=cn=Directory Manager

pki_ds_database=back_end_database_name
pki_ds_hostname=host_name
pki_ds_secure_connection=True
pki_ds_secure_connection_ca_pem_file=path_to_CA_or_self-signed_certificate
pki_ds_password=password
pki_ds_ldaps_port=port
pki_ds_bind_dn=cn=Directory Manager

Copy to Clipboard

Toggle word wrap

pki_ds_database パラメーターの値は、pkispawn ユーティリティーが Directory Server インスタンス上にに対応するサブシステムデータベースを作成するために使用する名前です。
pki_ds_hostname パラメーターの値は、Directory Server インスタンスのインストール場所によって異なります。これは、「DS インスタンスのインストールと設定」で使用される値によって異なります。

pki_ds_secure_connection=True を設定する場合は、次のパラメーターを設定する必要があります。

pki_ds_secure_connection_ca_pem_file: Directory Server の CA 証明書のエクスポートされたコピーが格納されたファイルのファイル名を含む完全修飾パスを設定します。このファイルが先に存在していなければ、pkispawn は使用できません。
pki_ds_ldaps_port: Directory Server がリッスンしているセキュアな LDAPS ポートの値を設定します。デフォルトは 636 です。

CS と DS 間の TLS 相互認証を有効にする

Pkispawn は、サンプル設定で使用されている上述のパラメーターに基づき、選択された DS インスタンスとの基本的な TLS サーバー認証接続を想定し、それを作成します。
ただしオプションで、Red Hat Certificate System は TLS 相互認証 を介して内部 LDAP サーバーと通信できます。インストールが完了すると、インストール後のセクションの「CS から DS への TLS 相互認証を有効にする」に従い、Directory Server との TLS 相互認証を必須とするように接続を設定できます。
その際に相互認証を設定すると、pki_ds_password は意味がなくなることに注意してください。

トップに戻る

第7章 Red Hat Certificate System のインストールと設定

7.1. pkispawn セットアップの準備
リンクのコピー

7.1.1. OS ユーザーとグループの作成
リンクのコピー

7.1.2. DS インスタンスのインストールと設定
リンクのコピー

7.1.2.1. RootCA 用の DS インスタンスのインストール
リンクのコピー

7.1.2.2. RootCA の OCSP 用 DS インスタンスのインストール
リンクのコピー

7.1.2.3. SubCA の DS インスタンスのインストール
リンクのコピー

7.1.2.4. SubCA の OCSP 用 DS インスタンスのインストール
リンクのコピー

7.1.2.5. KRA 用 DS インスタンスのインストール
リンクのコピー

7.1.2.6. TKS 用 DS インスタンスのインストール
リンクのコピー

7.1.2.7. TPS 用 DS インスタンスのインストール
リンクのコピー

7.1.3. CS と内部 LDAP サーバー間の TLS 認証を有効にする
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第7章 Red Hat Certificate System のインストールと設定

7.1. pkispawn セットアップの準備リンクのコピーリンクがクリップボードにコピーされました!

7.1.1. OS ユーザーとグループの作成リンクのコピーリンクがクリップボードにコピーされました!

7.1.2. DS インスタンスのインストールと設定リンクのコピーリンクがクリップボードにコピーされました!

7.1.2.1. RootCA 用の DS インスタンスのインストールリンクのコピーリンクがクリップボードにコピーされました!

7.1.2.2. RootCA の OCSP 用 DS インスタンスのインストールリンクのコピーリンクがクリップボードにコピーされました!

7.1.2.3. SubCA の DS インスタンスのインストールリンクのコピーリンクがクリップボードにコピーされました!

7.1.2.4. SubCA の OCSP 用 DS インスタンスのインストールリンクのコピーリンクがクリップボードにコピーされました!

7.1.2.5. KRA 用 DS インスタンスのインストールリンクのコピーリンクがクリップボードにコピーされました!

7.1.2.6. TKS 用 DS インスタンスのインストールリンクのコピーリンクがクリップボードにコピーされました!

7.1.2.7. TPS 用 DS インスタンスのインストールリンクのコピーリンクがクリップボードにコピーされました!

7.1.3. CS と内部 LDAP サーバー間の TLS 認証を有効にするリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

7.1. pkispawn セットアップの準備
リンクのコピー

7.1.1. OS ユーザーとグループの作成
リンクのコピー

7.1.2. DS インスタンスのインストールと設定
リンクのコピー

7.1.2.1. RootCA 用の DS インスタンスのインストール
リンクのコピー

7.1.2.2. RootCA の OCSP 用 DS インスタンスのインストール
リンクのコピー

7.1.2.3. SubCA の DS インスタンスのインストール
リンクのコピー

7.1.2.4. SubCA の OCSP 用 DS インスタンスのインストール
リンクのコピー

7.1.2.5. KRA 用 DS インスタンスのインストール
リンクのコピー

7.1.2.6. TKS 用 DS インスタンスのインストール
リンクのコピー

7.1.2.7. TPS 用 DS インスタンスのインストール
リンクのコピー

7.1.3. CS と内部 LDAP サーバー間の TLS 認証を有効にする
リンクのコピー