2.2. Certificate System サブシステムの概要

Certificate System インスタンスをインストールする前に、ローカルまたはリモートの Red Hat Directory Server LDAP インスタンスが利用できる必要があります。Red Hat Directory Server のインストール方法は、Red Hat Directory Server インストールガイド を参照してください。

Red Hat Certificate System は、以下のパッケージで構成されています。

Red Hat Enterprise Linux 8 システム (必要に応じて 4章サポート対象のプラットフォーム に記載されているサポート対象のハードウェアセキュリティーモジュールで設定されているもの) を使用します。Red Hat Certificate System をインストールする前に、すべてのパッケージが最新の状態であることを確認してください。

すべての Certificate System パッケージ (pki-javadoc を除く) をインストールするには、dnf を使用して redhat-pki メタパッケージをインストールします。

# dnf install redhat-pki

必要に応じて 1 つ以上の最上位の PKI サブシステムパッケージをインストールしてください。実際のパッケージ名は、上記のリストを参照してください。この方法を使用する場合は、必ず redhat-pki-server-theme パッケージもインストールし、PKI コンソールを使用する場合のオプションとして redhat-pki-console-theme と pki-console をインストールします。

開発者と管理者は、JSS および PKI javadoc (jss-javadoc および pki-javadoc) もインストールする必要があります。

pkispawn コマンドラインツールを使用して、新しい PKI インスタンスをインストールおよび設定します。個別インストールと設定手順がなく、バッチプロセスとして、または両方の組み合わせ (パスワードを要求するバッチプロセス) のいずれかを対話的に実行することができます。このユーティリティーは、ブラウザーベースのグラフィカルインターフェイスをインストールまたは設定する方法を提供していません。

使用方法の情報が必要な場合は、pkispawn --help コマンドを実行してください。

pkispawn コマンドを実行すると、以下が行われます。

詳細は、pkispawn の man ページを参照してください。

デフォルトの設定ファイル /etc/pki/default.cfg は、上記のプロセスの開始時に読み込まれるデフォルトのインストールと設定値を含むプレーンテキストのファイルです。これは、[DEFAULT]、[Tomcat]、[CA]、[KRA]、[OCSP]、[TKS]、および [TPS] セクションに分割された name=value のペアで構成されます。

pkispawn で -s オプションを使用してサブシステム名を指定すると、そのサブシステムのセクションのみが読み取られます。

セクションには階層があります。サブシステムセクションで指定した name=value のペアは、[Tomcat] セクションのペアを上書きし、[DEFAULT] セクションのペアを上書きします。デフォルトのペアは、インタラクティブ入力か、指定された PKI インスタンス設定ファイル内のペアによってさらに上書きできます。

詳細は、pki_default.cfg の man ページを参照してください。

設定サーブレット は、/usr/share/java/pki/pki-certsrv.jar に com/netscape/certsrv/system/ConfigurationRequest.class として保存されている Java バイトコードで構成されます。サーブレットは、pkispawn を使用して設定スクリプトレットから JSON オブジェクトとして渡されたデータを処理し、com/netscape/certsrv/system/ConfigurationResponse.class と同じファイルで提供される Java バイトコードを使用して pkispawn に返します。

インタラクティブインストールの例では、root 権限を使用してコマンドラインで pkispawn コマンドの実行のみ行っています。

# pkispawn

非対話的なインストールでは、PKI インスタンス設定の上書きファイルが必要ですが、プロセスは以下の例のようになります。

さまざまな設定例は、pkispawn の man ページを参照してください。

既存の PKI インスタンスを削除するには、pkidestroy コマンドを使用します。対話的に実行することも、バッチプロセスとして実行することもできます。pkidestroy -h を使用して、コマンドラインで詳細な使用方法を表示します。

pkidestroy コマンドは、サブシステムの作成時に保存された PKI サブシステムデプロイメント設定ファイル (/var/lib/pki/instance_name/<subsystem>/registry/<subsystem>/deployment.cfg) を読み取り、読み込んだファイルを使用して PKI サブシステムを削除し、追加のサブシステムがない場合は PKI インスタンスを削除します。詳細は、pkidestroy の man ページを参照してください。

pkidestroy を使用したインタラクティブな削除手順は、以下のようになります。

# pkidestroy

Subsystem (CA/KRA/OCSP/TKS/TPS) [CA]:
Instance [pki-tomcat]:

Begin uninstallation (Yes/No/Quit)? Yes

Log file: /var/log/pki/pki-ca-destroy.20150928183547.log
Loading deployment configuration from /var/lib/pki/pki-tomcat/ca/registry/ca/deployment.cfg.
Uninstalling CA from /var/lib/pki/pki-tomcat.
rm '/etc/systemd/system/multi-user.target.wants/pki-tomcatd.target'

Uninstallation complete.

非インタラクティブな削除手順は、以下の例のようになります。

# pkidestroy -s CA -i pki-tomcat

Log file: /var/log/pki/pki-ca-destroy.20150928183159.log
Loading deployment configuration from /var/lib/pki/pki-tomcat/ca/registry/ca/deployment.cfg.
Uninstalling CA from /var/lib/pki/pki-tomcat.
rm '/etc/systemd/system/multi-user.target.wants/pki-tomcatd.target'

Uninstallation complete.

Red Hat Certificate System サブシステムインスタンスは、Red Hat Enterprise Linux 8 で systemctl 実行管理システムツールを使用して停止および起動できます。

# systemctl start <unit-file>@instance_name.service

# systemctl status <unit-file>@instance_name.service

# systemctl stop <unit-file>@instance_name.service

# systemctl restart <unit-file>@instance_name.service

<unit-file> には、以下のいずれかの値を使用できます。

pki-tomcatd 			With watchdog disabled
pki-tomcatd-nuxwdog 		With watchdog enabled

watchdog サービスの詳細は、「パスワードとウォッチドッグ (nuxwdog)」 および「Certificate System の Watchdog サービスの使用」 を参照してください。

Red Hat Enterprise Linux の systemctl ユーティリティーは、サーバー上の各プロセスの自動起動およびシャットダウン設定を管理します。これは、システムが再起動すると、一部のサービスを自動的に再起動できることを意味します。システムユニットファイルは、サービスの起動を制御し、サービスが正しい順序で起動されるようにします。systemd サービスと systemctl ユーティリティーは、Red Hat Enterprise Linux 8 の基本的なシステム設定 ガイドで説明されています。

Certificate System インスタンスは systemctl で管理できます。したがって、このユーティリティーは、インスタンスを自動的に再起動するかどうかを設定できます。Certificate System インスタンスが作成されると、システムの起動時に有効になります。これは systemctl を使用することで変更できます。

# systemctl disable pki-tomcatd@instance_name.service

インスタンスを再度有効にするには、以下を実行します。

# systemctl enable pki-tomcatd@instance_name.service

Red Hat Certificate System の主なプロセス管理ツールは、pki-server です。使用方法は、pki-server --help コマンドを使用して、pki-server の man ページを参照してください。

pki-server コマンドラインインターフェイス (CLI) は、ローカルサーバーインスタンス (サーバー設定やシステム証明書など) を管理します。以下のように CLI を起動します。

$ pki-server [CLI options] <command> [command parameters]

CLI はサーバーインスタンスの設定ファイルおよび NSS データベースを使用するため、CLI では事前に初期化は必要ありません。CLI はファイルに直接アクセスできるため、これは root ユーザーがのみ実行でき、クライアント証明書は必要ありません。また、CLI はサーバーのステータスに関係なく実行できます。実行中のサーバーは必要ありません。

CLI は、階層構造で多数のコマンドをサポートしています。トップレベルのコマンドをリスト表示するには、追加のコマンドまたはパラメーターを指定せずに CLI を実行します。

$ pki-server

コマンドにはサブコマンドがあります。それらをリスト表示するには、コマンド名を実行します。追加のオプションは指定しません。以下に例を示します。

$ pki-server ca

$ pki-server ca-audit

コマンドの使用情報を表示するには --help オプションを使用します。

$ pki-server --help

$ pki-server ca-audit-event-find --help

インストール済みのサブシステムを有効または無効にするには、pki-server ユーティリティーを使用します。

# pki-server subsystem-disable -i instance_id subsystem_id

# pki-server subsystem-enable -i instance_id subsystem_id

subsystem_id を、有効なサブシステム識別子 (ca、kra、tks、ocsp または tps) に置き換えます。

たとえば、pki-tomcat という名前のインスタンスで OCSP サブシステムを無効にするには、次のコマンドを実行します。

# pki-server subsystem-disable -i pki-tomcat ocsp

インスタンスのインストールされたサブシステムをリスト表示するには、以下を実行します。

# pki-server subsystem-find -i instance_id

特定のサブシステムの状態を表示するには、次のコマンドを実行します。

# pki-server subsystem-find -i instance_id subsystem_id

Red Hat Certificate System 用の別のプロセス管理ツールとして、pkidaemon ツールがあります。

# pkidaemon {start|status} instance-type [instance_name]

詳細は、pkidaemon の man ページを参照してください。

CA、KRA、OCSP、TKS、および TPS サブシステムには、エージェント用の Web サービスページと、通常のユーザーおよび管理者が含まれます。これらの Web サービスには、サブシステムのセキュアなエンドユーザーのポートを介してサブシステムホストへの URL を開くことでアクセスできます。CA の場合の例を以下に示します。

https://server.example.com:8443/ca/services

pkidaemon status instance_name

各サブシステムの主な Web サービスページには、利用可能なサービスページの一覧があります。これらは以下の表に要約されています。特定のサービスにアクセスするには、適切なポートにアクセスし、適切なディレクトリーを URL に追加します。たとえば、CA のエンドエンティティー (通常のユーザー) の Web サービスにアクセスするには、以下を実行します。

https://server.example.com:8443/ca/ee/ca

DNS が設定されていない場合は、IPv4 アドレスまたは IPv6 アドレスを使用して、サービスページに接続できます。以下に例を示します。

https://192.0.2.1:8443/ca/services
https://[2001:DB8::1111]:8443/ca/services

CA、KRA、OCSP、および TKS サブシステムには、管理機能を実行するための Java インターフェイスがあります。KRA、OCSP、および TKS では、ユーザーおよびグループのログ設定や管理など、非常に基本的なタスクが含まれます。CA の場合は、証明書プロファイルの作成や公開の設定など、その他の設定が含まれます。

pkiconsole ユーティリティーを使用して SSL/TLS ポート経由でサブシステムインスタンスに接続すると、コンソールが開きます。このユーティリティーは、以下の形式を使用します。

# pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:admin_port/subsystem_type

subsystem_type は ca、kra、ocsp、または tks にすることができます。たとえば、これにより KRA コンソールが開きます。

# pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/kra

DNS が設定されていない場合は、IPv4 アドレスまたは IPv6 アドレスを使用してコンソールに接続できます。以下に例を示します。

https://192.0.2.1:8443/ca
https://[2001:DB8::1111]:8443/ca