16.5. ペア間の証明書の使用
1990 年代後半、米国政府が公開鍵インフラストラクチャーを強化し始めたとき、独自の個別の PKI デプロイメントを持つ政府機関は、独自の CA から証明書が発行 されたかのように、相互に証明書を認識して信頼できるようにする必要があることが明らかになりました。(外部クライアントが使用するためにネットワークの外部で証明書を信頼する方法は、PKI 管理者にとって深刻で、簡単に解決できない問題です。)
米国政府は、Federal Bridge Certificate Authority と呼ばれる クロスペア証明書 を発行するための標準を考案しました。これらの証明書は、明白な理由により ブリッジ証明書 とも呼ばれます。ブリッジ証明書またはクロスペア証明書は、ユーザーの暗号化と署名証明書のペアと同様に、デュアル証明書ペアとしてフレーム化された CA 署名証明書であり、ペア内の各証明書のみが異なる CA によって発行されます。両方のパートナー CA は、その他の CA 署名証明書をデータベースに保存するため、他の PKI 内で発行されたすべての証明書は信頼され、認識されます。
ブリッジング証明書は、独自の PKI でルート CA にチェーンされていない CA によって発行された証明書を尊重します。クロスペア CA 証明書を介して Certificate System CA と他の CA の間に信頼を確立することで、単一の CA 証明書をダウンロードしてインストールすることで CA が発行したすべての証明書を信頼するのと同様に、クロスペア証明書をダウンロードして他の CA が発行した証明書を信頼するために使用することができます。
Certificate System は、クロスペアの CA 証明書を発行、インポート、および公開できます。ペア間の証明書を発行するために特別なプロファイルを作成し、CA サブシステムの Certificate Wizard を使用して CA に対して証明書を要求およびインストールすることができます。
クロスペア証明書プロファイルの作成に関する詳細は、『Red Hat Certificate System 9 計画、インストール、およびデプロイメントのガイド』の『クロスペアプロファイルの設定』セクションを参照してください。
ペア間の証明書の公開に関する詳細は、「ペア間の証明書の公開」 を参照してください。
16.5.1. ペア間の証明書のインストール
両方のクロスペア証明書は、「証明書システムデータベースでの証明書のインストール」 に記載されているように、certutil ツールを使用して、または Certificate Setup Wizard から Cross-Pair Certificates オプションを選択して、Certificate System データベースにインポートすることができます。
両方の証明書がデータベースにインポートされると、crossCertificatePair エントリーが形成され、データベースに保存されます。crossCertificatePair エントリーが作成されると、元の個々のクロスペアの CA 証明書が削除されます。
16.5.2. ペア間の証明書の検索
ブリッジ証明書内の両方の CA は、クロスのペア証明書を LDAP データベースの crossCertificatePair エントリーとして保存または公開することができます。ldapsearch を使用して、Certificate Manager の内部データベースで crossCertificatePair エントリーを検索できます。
/usr/lib[64]/mozldap/ldapsearch -D "cn=directory manager" -w secret -p 389 -h server.example.com -b "o=server.example.com-pki-ca" -s sub "(crossCertificatePair=*)"