10.7. マスターとクローンの変換
CRL を生成する 1 つのアクティブな CA のみが、同じトポロジー内に存在できます。同様に、CRL を受信する OCSP は 1 つだけ同じトポロジー内に存在できます。そのため、クローンはいくつでも存在できますが、CA および OCSP 用に設定されたマスターは 1 つだけです。
KRA と TKS の場合、マスターとクローンの間に設定の違いはありませんが、CA と OCSP にはいくつかの設定の違いがあります。これは、マスターがオフラインになった場合、障害やメンテナンスのため、または PKI 内のサブシステムの機能を変更するために、既存のマスターをクローンに再設定し、クローンの 1 つをマスターに昇格させなければならないことを意味します。
10.7.1. CA クローンおよびマスターの変換
- マスター CA が実行中の場合は停止します。
- 既存のマスター CA 設定ディレクトリーを開きます。
# cd /var/lib/pki/instance_name/ca/conf
- マスターの
CS.cfg
ファイルを編集し、CRL およびメンテナンススレッド設定をクローンとして設定します。- データベースメンテナンススレッドの制御を無効にします。
ca.certStatusUpdateInterval=0
- データベースのレプリケーション変更の監視を無効にします。
ca.listenToCloneModifications=false
- CRL キャッシュのメンテナンスを無効にします。
ca.crl.IssuingPointId.enableCRLCache=false
- CRL 生成を無効にします。
ca.crl.IssuingPointId.enableCRLUpdates=false
- CRL 要求を新規マスターにリダイレクトするように CA を設定します。
master.ca.agent.host=new_master_hostname master.ca.agent.port=new_master_port
- クローン作成された CA サーバーを停止します。
# systemctl stop pki-tomcatd@instance_name.service
- クローン CA の設定ディレクトリーを開きます。
# cd /etc/instance_name
CS.cfg
ファイルを編集して、クローンを新規マスターとして設定します。ca.crl.
接頭辞で開始する各行を削除します。ca.crl.
で始まる各行を、以前のマスター CACS.cfg
ファイルから、クローン作成された CA のCS.cfg
ファイルにコピーします。- データベースメンテナンススレッドの制御を有効にします。マスター CA のデフォルト値は
600
です。ca.certStatusUpdateInterval=600
- データベースのレプリケーションのモニタリングを有効にします。
ca.listenToCloneModifications=true
- CRL キャッシュのメンテナンスを有効にします。
ca.crl.IssuingPointId.enableCRLCache=true
- CRL 生成を有効にします。
ca.crl.IssuingPointId.enableCRLUpdates=true
- CRL 生成要求のリダイレクト設定を無効にします。
master.ca.agent.host=hostname master.ca.agent.port=port number
- 新規マスター CA サーバーを起動します。
# systemctl start pki-tomcatd@instance_name.service
10.7.2. OCSP クローンの変換
- OCSP マスターが稼働している場合は停止します。
- 既存のマスター OCSP 設定ディレクトリーを開きます。
# cd /etc/instance_name
CS.cfg
を編集し、OCSP.Responder.store.defStore.refreshInSec パラメーターを 21600 にリセットします。OCSP.Responder.store.defStore.refreshInSec=21600
- オンラインのクローン作成された OCSP サーバーを停止します。
# systemctl stop pki-tomcatd@instance_name.service
- クローン作成された OCSP レスポンダーの設定ディレクトリーを開きます。
# cd /etc/instance_name
CS.cfg
ファイルを開き、OCSP.Responder.store.defStore.refreshInSec パラメーターを削除するか、その値をゼロ以外の数字に変更します。OCSP.Responder.store.defStore.refreshInSec=15000
- 新規マスター OCSP レスポンダーサーバーを起動します。
# systemctl start pki-tomcatd@instance_name.service