Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

6.2. 証明書の取り消し

6.2.1. CMC 失効の実行
リンクのコピー

CMS (CMC) 登録を介した Certificate Management と同様に、CMC 失効により、ユーザーは失効クライアントをセットアップし、一致する subjectDN 属性を使用するエージェント証明書またはユーザー証明書のいずれかを使用して失効要求に署名できます。これにより、ユーザーは署名済み要求を Certificate Manager に送信できます。
または、Shared Secret Token メカニズムを使用して CMC の失効を認証することもできます。詳細は、「CMC SharedSecret 認証」 を参照してください。
ユーザーまたはエージェントが要求に署名するかどうか、または Shared Secret Token が使用されているかどうかに関係なく、Certificate Manager は、有効な失効要求を受信すると、証明書を自動的に失効させます。
Certificate System は、CMC 失効要求用に以下のユーティリティーを提供します。
重要
Red Hat は、CMCRequest ユーティリティーを使用して、失効要求の生成を推奨します。これは、CMCRevoke よりも多くのオプションを提供するためです。

6.2.1.1. CMCRequest を使用した証明書の取り消し
リンクのコピー

CMCRequest を使用して証明書を取り消すには、以下を実行します。
  1. 以下の内容で、/home/user_name/cmc-request.cfg などの CMC 失効要求の設定ファイルを作成します。 
    #numRequests: Total number of PKCS10 requests or CRMF requests.
numRequests=1

#output: full path for the CMC request in binary format
output=/home/user_name/cmc.revoke.userSigned.req

#tokenname: name of token where user signing cert can be found
#(default is internal)
tokenname=internal

#nickname: nickname for user signing certificate which will be used
#to sign the CMC full request.
nickname=signer_user_certificate

#dbdir: directory for cert8.db, key3.db and secmod.db
dbdir=/home/user_name/.dogtag/nssdb/

#password: password for cert8.db which stores the user signing
#certificate and keys
password=myPass

#format: request format, either pkcs10 or crmf.
format=pkcs10

## revocation parameters
revRequest.enable=true
revRequest.serial=45
revRequest.reason=unspecified
revRequest.comment=user test revocation
revRequest.issuer=issuer
revRequest.sharedSecret=shared_secret
    Copy to Clipboard Toggle word wrap
  2. CMC 要求を作成します。 
    # CMCRequest /home/user_name/cmc-request.cfg
    Copy to Clipboard Toggle word wrap
    コマンドが成功すると、CMCRequest ユーティリティーは、要求設定ファイルの output パラメーターで指定されたファイルに CMC 要求を保存します。
  3. /home/user_name/cmc-submit.cfg などの設定ファイルを作成します。このファイルは、後で CMC 取り消し要求を CA に送信します。作成されたファイルに以下の内容を追加します。 
    #host: host name for the http server
host=>server.example.com

#port: port number
port=8443

#secure: true for secure connection, false for nonsecure connection
secure=true

#input: full path for the enrollment request, the content must be
#in binary format
input=/home/user_name/cmc.revoke.userSigned.req

#output: full path for the response in binary format
output=/home/user_name/cmc.revoke.userSigned.resp

#tokenname: name of token where TLS client authentication certificate
#can be found (default is internal)
#This parameter will be ignored if secure=false
tokenname=internal

#dbdir: directory for cert8.db, key3.db and secmod.db
#This parameter will be ignored if secure=false
dbdir=/home/user_name/.dogtag/nssdb/

#clientmode: true for client authentication, false for no client
#authentication. This parameter will be ignored if secure=false
clientmode=true

#password: password for cert8.db
#This parameter will be ignored if secure=false and clientauth=false
password=password

#nickname: nickname for client certificate
#This parameter will be ignored if clientmode=false
nickname=signer_user_certificate
    Copy to Clipboard Toggle word wrap
    重要
    CMC 失効要求に署名されている場合は、secure パラメーターおよび clientmode パラメーターも true に設定します。さらに nickname パラメーターも入力します。
  4. 要求に署名したユーザーに応じて、HttpClient の設定ファイルの servlet パラメーターを適切に設定する必要があります。
    • エージェントが要求に署名した場合は、以下を設定します。 
      servlet=/ca/ee/ca/profileSubmitCMCFull
      Copy to Clipboard Toggle word wrap
    • ユーザーが要求に署名した場合は、以下を設定します。 
      servlet=/ca/ee/ca/profileSubmitUserSignedCMCFull
      Copy to Clipboard Toggle word wrap
  5. CMC 要求を送信します。 
    # HttpClient /home/user_name/cmc-submit.cfg
    Copy to Clipboard Toggle word wrap
CMCRequest を使用して証明書の取り消しに関する詳細は、CMCRequest(1) の man ページを参照してください。

6.2.1.2. CMCRevokeを使用した証明書の取り消し
リンクのコピー

CMC 失効ユーティリティー CMCRevoke は、エージェントの証明書を使用して失効要求に署名するために使用されます。このユーティリティーは、必要な情報 (証明書のシリアル番号、発行者名、失効理由) を渡して取り消す証明書を識別し、次に失効を実行する CA エージェントを識別するための必要な情報 (証明書のニックネームと証明書のあるデータベース) を渡します。
重要
CMCRevoke を使用するには、CA 管理者が、インストール時に 『Red Hat Certificate System 9 Planning、Installation and Deployment Guide (Common Criteria Edition)』 の 『Web ユーザーインターフェイスでの CMCRevoke の有効化』 セクションで指定されている指示に従う必要があります。
証明書が取り消される理由は、次のいずれかです (数値は、CMCRevoke に渡される値です)。
  • 0: 指定無し
  • 1: キーが侵害されました。
  • 2: CA キーが侵害されました。
  • 3: 従業員の所属が変更になりました
  • 4: 証明書が置き換えられました
  • 5: 運用停止
  • 6: 証明書が保留中です
利用可能なツール引数は、『コマンドラインツールツールガイド』 で詳細に説明されています。
6.2.1.2.1. CMCRevoke のテスト
リンクのコピー
  1. 既存の証明書の CMC 失効要求を作成します。 
    CMCRevoke -d/path/to/agent-cert-db -nnickname -iissuerName -sserialName -mreason -ccomment
    Copy to Clipboard Toggle word wrap
    たとえば、エージェント証明書を含むディレクトリーは ~jsmith/.mozilla/firefox/ で、証明書のニックネームは AgentCert で、証明書のシリアル番号は 22 の場合、コマンドは次のとおりです 
    CMCRevoke -d"~jsmith/.mozilla/firefox/" -n"ManagerAgentCert" -i"cn=agentAuthMgr" -s22 -m0 -c"test comment"
    Copy to Clipboard Toggle word wrap
    注記
    引用符で囲まれたスペースを含む値を囲みます。
    重要
    引数とその値の間には空白を入れないでください。たとえば、26 のシリアル番号は -26 ではなく、-s 26 となります。
  2. エンドエンティティーを開きます。 
    https://server.example.com:8443/ca/ee/ca
    Copy to Clipboard Toggle word wrap
  3. Revocation タブを選択します。
  4. メニューの CMC Revoke リンクを選択します。
  5. CMCRevoke からテキストエリアに出力を貼り付けます。
  6. 貼り付けられたコンテンツから -----BEGIN NEW CERTIFICATE REQUEST----- および ----END NEW CERTIFICATE REQUEST----- を削除します。
  7. 送信 をクリックします。
  8. 返されるページは、正しい証明書が取り消されていることを確認します。

6.2.2. Web UI からのエージェントとしての失効の実行
リンクのコピー

Certificate Manager エージェントは、エージェントサービスページを使用して、Certificate System が発行する特定の証明書を見つけるか、指定の基準に一致する証明書の一覧を取得できます。取得する証明書は、エージェントによって検査または取り消されます。Certificate Manager エージェントは、証明書失効リスト (CRL) も管理できます。

6.2.2.1. 証明書の一覧表示
リンクのコピー

シリアル番号の範囲内で証明書を一覧表示することができます。範囲内のすべての証明書が表示されるか、エージェントを選択した場合は、現在有効な証明書のみが表示されます。
特定の証明書を見つけるか、シリアル番号で証明書を一覧表示するには、以下を実行します。
  1. Certificate Manager エージェントサービスページを開きます。
  2. 証明書の一覧表示 をクリックします。

    図6.1 証明書の一覧表示

    証明書の一覧表示
    View larger image
    証明書の一覧表示
    • 特定のシリアル番号を持つ証明書を検索するには、List Certificates フォームの上限フィールドと下限フィールドの両方にシリアル番号を 10 進数または 16 進数形式で入力します。16 進数の先頭を指定するには 0x を使用します(例: 0x00000006 )。シリアル番号は、検索結果 ページと 詳細 ページに 16 進数で表示されます。
    • シリアル番号の範囲内にある証明書をすべて検索するには、シリアル番号の範囲の上限と下限を 10 進数または 16 進数の形式に入力します。
    制限または上限フィールドを空白のままにすると、指定された番号の証明書と、シーケンスの前または後のすべての証明書が表示されます。
  3. 返されたリストを有効な証明書に制限するには、フィルターメソッドでラベルが付けられたチェックボックスを選択します。失効した証明書を含めることも、有効ではない期限切れの証明書や証明書を追加したり、有効な証明書のみを表示したりできます。
  4. results ページで返される条件に一致する証明書の最大数を入力します。
    数値を入力すると、条件に一致する番号までの最初の証明書が表示されます。
  5. Find をクリックします。
    Certificate System は、検索条件に一致する証明書の一覧を表示します。一覧内の証明書を選択して詳細を確認し、さまざまな操作を実行します。詳細は、「証明書の詳細の調査」 を参照してください。

6.2.2.3. 証明書の詳細の調査
リンクのコピー

  1. エージェントサービスページで、List Certificates または Search for Certificates をクリックし、検索条件を指定して Find をクリックし、証明書の一覧を表示します。
  2. Search Results フォームで、検査する証明書を選択します。
    目的の証明書が表示されない場合は、リストの下部までスクロールし、返される証明書の数を追加で指定し、Find をクリックします。システムは、元の検索条件に一致する次の数まで、次の証明書を表示します。
  3. 証明書を選択したら、エントリーの左側にある Details ボタンをクリックします。
  4. Certificate ページには、選択した証明書の詳細な内容と、サーバーまたは Web ブラウザーに証明書をインストールする手順が表示されます。

    図6.2 証明書の詳細

    証明書の詳細
    View larger image
    証明書の詳細
  5. 証明書は、Certificate ページの下部の Installing this certificate in a server の見出しの下に、base-64 でエンコードされた形式で表示されます。

6.2.2.4. 証明書の取り消し
リンクのコピー

Certificate Manager エージェントのみが、独自の証明書以外の証明書を取り消すことができます。以下のいずれかの状況が発生した場合は、証明書を取り消す必要があります。
  • 証明書の所有者はステータスを変更し、証明書を使用する権限がなくなりました。
  • 証明書の所有者の秘密鍵が侵害されました。
証明書を取り消す必要があるのは、これら 2 つの理由だけではありません。証明書を取り消すには、6 つの理由があります。
1 つ以上の証明書を取り消すには、Revoke Certificates ボタンを使用して取り消す証明書を検索します。検索は Search for Certificates フォームを介して検索に似ていますが、この検索によって返される Search Results フォームは、返される証明書のいずれかまたはすべてを取り消すオプションを提供します。
6.2.2.4.1. 証明書の取り消し
リンクのコピー
  1. Certificate Manager エージェントサービスページを開きます。
  2. Revoke Certificates をクリックします。
    注記
    表示される検索フォームには、Search for Certificates フォームと同じ検索条件セクションがあります。
  3. セクションのチェックボックスを選択して検索条件を指定し、必要な情報を入力します。
  4. フォームの下部までスクロールし、一致する証明書の数が表示されるように設定します。
  5. Find をクリックします。
  6. 検索は一致する証明書の一覧を返します。一覧内の 1 つまたはすべての証明書を取り消すことができます。
    View larger image
    ヒント
    検索条件が非常に固有で、返されるすべての証明書が取り消される場合は、ページの下部にある Revoke ALL # Certificates ボタンをクリックします。ボタンに表示される数は、検索によって返される証明書の合計数です。通常、これは現在のページに表示される証明書の数よりも大きくなります。
    現在のページに表示されている証明書だけで なく、検索によって返されたすべての証明書を取り消す必要があることを確認します。
  7. 取り消す証明書の横にある Revoke ボタンをクリックします。
    注意
    1 つの証明書を呼び出すか、証明書の一覧を呼び出す場合でも、正しい証明書が選択されているか、リストに取り消される証明書のみが含まれていることに注意してください。失効操作が確認されたら、元に戻す方法はありません。
  8. 無効な日付を選択します。無効な日付は、ユーザーの秘密鍵が侵害された、または証明書が無効になったことを疑われる日付です。ドロップダウンリストのセットにより、エージェントが正しい無効な日付を選択できます。
    View larger image
  9. 失効の理由を選択します。
    • 侵害された鍵
    • CA キーが侵害されました
    • 所属が変更
    • 証明書が置き換えられました
    • 運用停止
    • 証明書は保持中です
  10. 追加のコメントを入力します。コメントは失効リクエストに含まれます。
失効要求が送信されると、それは自動的に承認され、証明書は失効します。失効要求は、ステータスが Completed のリクエストを一覧表示して表示されます。
6.2.2.4.2. 証明書の保留解除
リンクのコピー
証明書にアクセスできないため、失効したものとして扱う必要がある場合がありますが、その証明書は回復できます。たとえば、あるユーザーがフラッシュドライブに保存されている個人の電子メール証明書を持っていて、それを誤って家に置いてしまった場合があります。証明書は侵害されていませんが、一時的に停止する必要があります。
この証明書は、保持時に一時的に取り消すことができます (「証明書の取り消し」 にあるように、証明書を取り消す際に指定されるオプションの 1 つ)。忘れたフラッシュドライブが取り出されたときなど、後でその証明書の保留を解除して、再びアクティブにすることができます。
  1. 「証明書の検索 (詳細)」 にあるように、on hold 証明書を検索します。Revocation Information セクションまでスクロールし、検索条件として Certificate is on hold revocation reason を設定します。
    View larger image
  2. 結果一覧で、証明書の Off Hold ボタンをクリックして保持します。
    View larger image

6.2.2.5. 証明書失効リストの管理
リンクのコピー

証明書を取り消すと、証明書が有効でなくなったことを他のユーザーに通知します。この通知は、証明書失効リスト (CRL) と呼ばれる certificate revocation list を LDAP ディレクトリーまたはフラットファイルに公開して行います。このリストは公開されているため、失効した証明書が正しく使用されていないことを確認してください。
6.2.2.5.1. CRL の表示または検証
リンクのコピー
最新の CRL でディレクトリーを手動で更新する前に、CRL を表示または検証する必要がある場合があります。CRL を表示または表示するには、以下を行います。
  1. Certificate Manager エージェントサービスページに移動します。
  2. Display Certificate Revocation List をクリックして、CRL を表示するためのフォームを表示します。
  3. 表示する CRL を選択します。管理者が複数の発行ポイントを作成した場合、それらは Issuing point ドロップダウンリストに一覧表示されます。それ以外の場合は、マスター CRL のみが表示されます。
  4. Display Type メニューからオプションの 1 つを選択して、CRL の表示方法を選択します。このメニューの選択は以下のとおりです。
    • Cached CRLCRL 自体からではなく、キャッシュから CRL を表示します。このオプションは、CRL 全体を表示するよりも速く結果を表示します。
    • Entire CRLCRL 全体を取得して表示します。
    • CRL headerCRL ヘッダーのみを取得して表示します。
    • Base 64 Encodedbase-64 でエンコードされた形式で CRL を取得し、表示します。
    • Delta CRLデルタ CRL を取得して表示します。デルタ CRL は、最後の CRL が公開されてから新しい失効のみを示す CRL のサブセットです。このオプションは、デルタ CRL の生成が有効になっている場合にのみ利用できます。
  5. 選択した CRL を確認するには、Display をクリックします。
    CRL がブラウザーウィンドウに表示されます。これにより、エージェントは特定の証明書が (シリアル番号で) リストに表示されているかどうかを確認し、最後の更新以降に取り消された証明書の総数、最後の更新以降に保留が解除された証明書の総数などの最近の変更を確認できます。、および最後の更新以降に有効期限が切れた証明書の総数。
6.2.2.5.2. CRL の更新
リンクのコピー
CRL の自動生成のスケジュールが有効になっている場合は、CRL を自動的に更新できます。スケジュールでは、設定された時間スケジュールで、または証明書の失効があるたびに CRL が生成されるように設定できます。
同様に、CRL 発行が有効になっている場合は、CRL も自動的に発行できます。
場合によっては、システムがダウンした後にリストを更新したり、期限切れの証明書を削除してファイルサイズを縮小したりするなど、CRL を手動で更新する必要があります。(期限切れの証明書は、有効期限のために既に無効になっているため、CRL に含める必要はありません。) Certificate Manager エージェントのみが CRL を手動で更新できます。
CRL を手動で更新するには:
  1. Certificate Manager エージェントサービスページを開きます。
  2. Update Revocation List をクリックし、CRL を更新するためのフォームを表示します。

    図6.3 証明書失効リストの更新

    証明書失効リストの更新
    View larger image
    証明書失効リストの更新
  3. CRL を更新する CRL 発行ポイントを選択します。1 つの CA に対して複数の発行ポイントを設定できます。
  4. 新しい CRL の署名に使用するアルゴリズムを選択します。アルゴリズムを選択する前に、この CRL の読み取りまたは表示が必要なシステムまたはネットワークアプリケーションがそのアルゴリズムをサポートしていることを確認してください。
    • RSA (SHA-256)
    • RSA (SHA-384)
    • RSA (SHA 512)
    アルゴリズムを選択する前に、Certificate System でそのアルゴリズムが有効になっていることを確認してください。Certificate System 管理者には、その情報があります。
  5. Update をクリックして、最新の証明書失効情報で CRL を更新します。

6.2.3. Web UI を使用したユーザーとしての Own 証明書での失効の実行
リンクのコピー

証明書を取り消すと、有効期限が切れる前に証明書が無効になります。これは、証明書が失われたり、侵害されたり、不要になった場合に必要になることがあります。

6.2.3.1. ユーザー証明書の取り消し
リンクのコピー

  1. Revocation タブをクリックします。
  2. User Certificate リンクをクリックします。
  3. 証明書が取り消される理由を選択し、Submit をクリックします。
    View larger image
  4. 一覧から取り消す証明書を選択します。

6.2.3.2. 証明書が取り消されているかどうかの確認
リンクのコピー

  1. Retrieval タブをクリックします。
  2. Import Certificate Revocation List リンクをクリックします。
  3. Check whether the following certificate is included in CRL cache または Check whether the following certificate is listed by CRL のラジオボタンを選択し、証明書のシリアル番号を入力します。
    View larger image
  4. 送信 ボタンをクリックします。
    メッセージは、証明書が CRL にリストされていないことを示すか、証明書が含まれる CRL の情報を提供します。

6.2.3.3. CRL のダウンロードおよびインポート
リンクのコピー

証明書失効リスト (CRL) をダウンロードして、Web クライアント、アプリケーション、またはマシンにインストールできます。それらは表示して、取り消された証明書を確認することもできます。
  1. Retrieval タブをクリックします。
  2. Import Certificate Revocation List リンクをクリックします。
  3. ラジオボタンを選択して、CRL を表示、ダウンロード、またはインポートします。
    View larger image
    • CRL をブラウザーにインポートするか、ダウンロードして保存するには、適切なラジオボタンを選択します。完全な CRL またはデルタ CRL をダウンロード/インポートする方法は 2 つあります。デルタ CRL は、最後に CRL が生成されてから取り消された証明書の一覧のみをインポート/ダウンロードします。
    • CRL を表示するには、CRL 情報の表示 を選択し、表示する CRL サブセット( 発行ポイントと呼ばれる)を選択します。これは、含まれる証明書の数を含む CRL 情報を示しています。
      View larger image
  4. 送信 ボタンをクリックします。
  5. ファイルを保存するか、インポート操作を承認します。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat