10.4. OCSP サブシステムのクローン作成
- マスター OCSP を設定し、キーをバックアップします。
- マスター OCSP の
CS.cfg
ファイルで、OCSP.Responder.store.defStore.refreshInSec パラメーターを 21600 以外の番号に設定します。21600 はクローンの設定になります。# vim /etc/instance_name/CS.cfg OCSP.Responder.store.defStore.refreshInSec=15000
pkispawn
ユーティリティーを使用して、クローンサブシステムインスタンスを作成します。OCSP サブシステムのクローン時にpkispawn
で必要な設定ファイルの例は、pkispawn(8) の man ページを参照してください。- クローンが使用する Directory Server インスタンスを再起動します。
# systemctl dirsrv@instance_name.service
注記Directory Server を再起動すると、更新されたスキーマが再読み込みされます。これは、パフォーマンスを適切に行うために必要です。 - クローンインスタンスを再起動します。
# systemctl restart pki-tomcatd@instance_name.service
クローンの設定後に、テストを実行して、master-clone 関係が機能していることを確認します。
- CRL がマスター OCSP に公開されるように、マスター CA で OCSP 公開を設定します。
- CRL が正常に公開されたら、エージェントページのマスターおよびクローン作成された OCSP の List Certificate Authority リンクの両方を確認します。リストは同一でなければなりません。
- OCSPClient ツールを使用して、マスターおよびクローン作成された Online Certificate Status Manager に OCSP 要求を送信します。このツールは、両方のマネージャーから同じ OCSP 応答を受け取る必要があります。