第5章 Red Hat Enterprise Linux 8.3 上の Red Hat Certificate System 10.1
このセクションでは、注目すべき更新と新機能、重要なバグ修正、ユーザーが知っておくべき現在の既知の問題など、RHEL 8.3 上の Red Hat Certificate System 10.1 の重要な変更を説明します。
Red Hat Certificate System を以前のマイナーバージョンにダウングレードすることはサポートされていません。
5.1. CS 10.1 の更新と新機能
このセクションでは、Red Hat Certificate System 10.1 の新機能および重要な更新を説明します。
Certificate System パッケージがバージョン 10.9.0 にリベース
pki-core、redhat-pki、redhat-pki-theme、および pki-console パッケージがアップストリームバージョン 10.9.0 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。
JSS が FIPS 準拠の SSLContext を提供
以前のリリースでは、Tomcat は Java Cryptography Architecture (JCA) SSLContext クラスの SSLEngine ディレクティブを使用していました。デフォルトの SunJSSE 実装は連邦情報処理標準 (FIPS) に準拠していないため、PKI は JSS 経由で FIPS 準拠の実装を提供するようになりました。
サーバー側の Keygen 登録
多くの新しいバージョンのブラウザーでは、PKI キーを生成する機能と、キーアーカイブ用の CRMF のサポートが削除されています。この相互運用性を解決するために、Red Hat Certificate System 10.1 では、サーバー側の Keygen 登録メカニズムが導入されています。キーは KRA サーバーで生成され、PKCS#12 のクライアントに安全に転送されます。
暗号化証明書にのみサーバー側 Keygen メカニズムを使用することが強く推奨されます。
主な機能
- 証明書要求キーは KRA で生成されます (注: CA と連携するには、KRA をインストールする必要があります)。
-
プロファイルのデフォルトプラグイン serverKeygenUserKeyDefaultImpl により、キーアーカイブ (つまり
enableArchival) を有効化または無効化できるように - RSA 鍵と EC 鍵の両方のサポート
- 手動 (エージェント) 承認と自動承認 (ディレクトリーパスワードベースなど) の両方のサポート
CA 証明書の埋め込み署名証明書タイムスタンプを使用した CA 証明書送信
Red Hat Certificate System は、Certificate Transparency (CT) V1 サポートの基本バージョン (rfc 6962) を提供します。各デプロイメントサイトがルート CA 証明書を含めることを選択した信頼できるログから、Signed Certificate Time スタンプ (SCT) が埋め込まれた証明書を発行する機能があります。複数の CT ログに対応するようにシステムを設定することもできます。この機能を使用するには、少なくとも 1 つの信頼できる CT ログが必要です。
デプロイメントサイトが、信頼できる CT ログサーバーとの信頼関係を確立します。
pki-core パッケージの更新と新機能:
公開鍵基盤 (PKI) の全体的な正常性を確認できるようになる
pki-healthcheck ツールでは、公開鍵基盤 (PKI) 環境の正常性に影響を与える可能性のあるエラー状態を見つけ、報告できるチェック機能が含まれています。
PKI が、RSA PSS (Probabilistic Signature Scheme) 署名アルゴリズムに対応するようになる
今回の機能強化により、PKI は RSA PSS (Probabilistic Signature Scheme) 署名アルゴリズムに対応するようになりました。この機能を有効にするには、特定のサブシステムに対して pkispawn スクリプトファイルに以下の行を設定します (pki_use_pss_rsa_signing_algorithm=True)。
