サポートコンソール開発者トライアルの開始お問い合わせ

14.2. サブシステム証明書の更新

サブシステム証明書の更新の詳細については、「更新について」 を参照してください。
サブシステム証明書を更新するプロセスは、ユーザー証明書を更新するプロセスと同じです。
システム証明書を更新するには、HttpClient ユーティリティーを使用する際に、対応する登録プロファイルを使用して要求を送信します。異なるシステム証明書プロファイルの詳細は、「システム証明書およびサーバー証明書の取得」 を参照してください。

14.2.1. certutil を使用した証明書の更新

certutil は、証明書データベースの既存のキーペアを使用して証明書要求を生成するのに使用できます。次に、新しい証明書要求を CMC 要求に変換して、CA に送信できます。詳細は、certutil を使用した CSR の作成」 を参照してください。
注記
暗号化および署名証明書は単一のステップで作成されます。ただし、更新プロセスは一度に 1 つの証明書のみを更新します。
証明書ペアで両方の証明書を更新するには、各証明書を個別に更新する必要があります。
  1. トークンデータベースのパスワードを取得します。 
    cat /var/lib/pki/instance_name/conf/password.conf

internal=263163888660
  2. 証明書を更新しているインスタンスの証明書データベースディレクトリーを開きます。 
    cd /var/lib/pki/instance_name/alias
  3. 更新する証明書のキーとニックネームを一覧表示します。証明書を更新するには、生成に使用されるキーペアと、新しい証明書に指定されたサブジェクト名は、古い証明書の証明書と同じである必要があります。 
    # certutil -K -d .

certutil: Checking token "NSS Certificate DB" in slot "NSS User Private Key and Certificate Services"
Enter Password or Pin for "NSS Certificate DB":
< 0> rsa      69481646e38a6154dc105960aa24ccf61309d37d   caSigningCert cert-pki-tomcat CA
  4. alias ディレクトリーをバックアップとしてコピーし、証明書データベースから元の証明書を削除します。以下に例を示します。 
    certutil -D -n "ServerCert cert-example"  -d .
  5. 既存の証明書の値にオプションを設定して certutil コマンドを実行します。 
    certutil -d . -R -k "NSS Certificate DB:cert-pki-tomcat CA" -s "cn=CA Authority,o=Example Domain" -a -o example.req2.txt
    新しい証明書とキーのペアの生成と証明書の更新の違いは、-k オプションの値です。新しいリクエストとキーのペアを生成するには、-k はキータイプを設定してから -g で使用します。これは、ビット長を設定します。更新要求では、-k オプションは証明書のニックネームを使用してセキュリティーデータベースに保存された既存のキーペアにアクセスします。
    パラメーターの詳細は、certutil(1) の man ページを参照してください。
  6. 証明書要求を送信し、それを取得してインストールします。

14.2.2. 期限切れの Certificate System サーバー証明書の更新

Certificate System は、PKI サーバーの実行中にサーバー証明書をオンラインで自動的に更新しません。一般に、管理者はシステム証明書が期限切れになる前に更新する必要があります。ただし、システム証明書の期限が切れると、証明書システムが起動できません。
期限切れ後にシステム証明書を更新するために、一時的なサーバー証明書をセットアップできます。
  1. システム証明書の有効期限が切れている場合は、以下を行います。
    1. 一時証明書を作成します。 
      # pki-server cert-create sslserver --temp
    2. Certificate System の Network Security Services (NSS) データベースに一時証明書をインポートします。 
      # pki-server cert-import sslserver
    3. Certificate System を開始します。 
      # systemctl start pki-tomcatd-nuxwdog@instance_name.service
  2. 証明書を表示し、期限切れのシステム証明書の ID をメモします。 
    # pki-server cert-find
  3. 新しい永続的な証明書を作成します。 
    # pki-server cert-create certificate_ID
  4. Certificate System を停止します。 
    # systemctl stop pki-tomcatd-nuxwdog@instance_name.service
  5. 新しい証明書をインポートして、期限切れの証明書を置き換えます。 
    # pki-server cert-import certificate_ID
  6. Certificate System を開始します。 
    # systemctl start pki-tomcatd-nuxwdog@instance_name.service
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.