13.6. セキュリティードメイン設定の表示
セキュリティードメイン は PKI サービスのレジストリーです。CA などの PKI サービスは、これらのドメインに独自の情報を登録するため、PKI サービスのユーザーはレジストリーを確認して他のサービスを検索できます。Certificate System のセキュリティードメインサービスは、Certificate System サブシステムの PKI サービスの登録と、共有信頼ポリシーのセットの両方を管理します。
セキュリティードメインはサブシステム間の信頼関係を自動的に管理するため、TPS、TKS、および KRA が同じセキュリティードメイン内にある場合は安全に通信できます。
注記
セキュリティードメインはサブシステムの設定時に使用されます。サブシステムが設定されていると、セキュリティードメインレジストリーを確認して利用可能なインスタンスを確認することができます。TKS と KRA を操作に使用する TPS など、別のインスタンスとの信頼関係を作成する必要がある場合は、セキュリティードメインを使用して、選択した TKS インスタンスと KRA インスタンスに TPS エージェントユーザーを作成します。
レジストリーは、ドメイン内でサブシステムによって提供されるすべての PKI サービスの完全なビューを提供します。各 Certificate System サブシステムは、ホストまたはセキュリティードメインのメンバーのいずれかである必要があります。
CA のみがセキュリティードメインをホストおよび管理できます。各 CA には独自の LDAP エントリーがあり、セキュリティードメインは CA エントリーの下にある組織グループです。
ou=Security Domain,dc=example,dc=com
次に、セキュリティードメイン組織グループの下に各サブシステムタイプのリストがあり、グループタイプを識別するための特別なオブジェクトクラス (pkiSecurityGroup) があります。
cn=KRAList,ou=Security Domain,dc=example,dc=com objectClass: top objectClass: pkiSecurityGroup cn: KRAList
各サブシステムインスタンスは、エントリータイプを識別するための特別な pkiSubsystem オブジェクトクラスを使用してそのグループのメンバーとして保存されます。
dn: cn=server.example.com:8443,cn=KRAList,ou=Security Domain,dc=example,dc=com objectClass: top objectClass: pkiSubsystem cn: kra.example.com:8443 host: server.example.com SecurePort: 8443 SecureAgentPort: 8443 SecureAdminPort: 8443 UnSecurePort: 8080 DomainManager: false Clone: false SubsystemName: KRA server.example.com 8443