Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

10.7. マスターとクローンの変換

CRL を生成する 1 つのアクティブな CA のみが、同じトポロジー内に存在できます。同様に、CRL を受信する OCSP は 1 つだけ同じトポロジー内に存在できます。そのため、クローンはいくつでも存在できますが、CA および OCSP 用に設定されたマスターは 1 つだけです。
KRA と TKS の場合、マスターとクローンの間に設定の違いはありませんが、CA と OCSP にはいくつかの設定の違いがあります。これは、マスターがオフラインになった場合、障害やメンテナンスのため、または PKI 内のサブシステムの機能を変更するために、既存のマスターをクローンに再設定し、クローンの 1 つをマスターに昇格させなければならないことを意味します。

10.7.1. CA クローンおよびマスターの変換
リンクのコピー

  1. マスター CA が実行中の場合は停止します。
  2. 既存のマスター CA 設定ディレクトリーを開きます。 
    # cd /var/lib/pki/instance_name/ca/conf
    Copy to Clipboard Toggle word wrap
  3. マスターの CS.cfg ファイルを編集し、CRL およびメンテナンススレッド設定をクローンとして設定します。
    • データベースメンテナンススレッドの制御を無効にします。 
      ca.certStatusUpdateInterval=0
      Copy to Clipboard Toggle word wrap
    • データベースのレプリケーション変更の監視を無効にします。 
      ca.listenToCloneModifications=false
      Copy to Clipboard Toggle word wrap
    • CRL キャッシュのメンテナンスを無効にします。 
      ca.crl.IssuingPointId.enableCRLCache=false
      Copy to Clipboard Toggle word wrap
    • CRL 生成を無効にします。 
      ca.crl.IssuingPointId.enableCRLUpdates=false
      Copy to Clipboard Toggle word wrap
    • CRL 要求を新規マスターにリダイレクトするように CA を設定します。 
      master.ca.agent.host=new_master_hostname
master.ca.agent.port=new_master_port
      Copy to Clipboard Toggle word wrap
  4. クローン作成された CA サーバーを停止します。 
    # systemctl stop pki-tomcatd@instance_name.service
    Copy to Clipboard Toggle word wrap
  5. クローン CA の設定ディレクトリーを開きます。 
    # cd /etc/instance_name
    Copy to Clipboard Toggle word wrap
  6. CS.cfg ファイルを編集して、クローンを新規マスターとして設定します。
    1. ca.crl. 接頭辞で開始する各行を削除します。
    2. ca.crl. で始まる各行を、以前のマスター CA CS.cfg ファイルから、クローン作成された CA の CS.cfg ファイルにコピーします。
    3. データベースメンテナンススレッドの制御を有効にします。マスター CA のデフォルト値は 600 です。 
      ca.certStatusUpdateInterval=600
      Copy to Clipboard Toggle word wrap
    4. データベースのレプリケーションのモニタリングを有効にします。 
      ca.listenToCloneModifications=true
      Copy to Clipboard Toggle word wrap
    5. CRL キャッシュのメンテナンスを有効にします。 
      ca.crl.IssuingPointId.enableCRLCache=true
      Copy to Clipboard Toggle word wrap
    6. CRL 生成を有効にします。 
      ca.crl.IssuingPointId.enableCRLUpdates=true
      Copy to Clipboard Toggle word wrap
    7. CRL 生成要求のリダイレクト設定を無効にします。 
      master.ca.agent.host=hostname
master.ca.agent.port=port number
      Copy to Clipboard Toggle word wrap
  7. 新規マスター CA サーバーを起動します。 
    # systemctl start pki-tomcatd@instance_name.service
    Copy to Clipboard Toggle word wrap

10.7.2. OCSP クローンの変換
リンクのコピー

  1. OCSP マスターが稼働している場合は停止します。
  2. 既存のマスター OCSP 設定ディレクトリーを開きます。 
    # cd /etc/instance_name
    Copy to Clipboard Toggle word wrap
  3. CS.cfg を編集し、OCSP.Responder.store.defStore.refreshInSec パラメーターを 21600 にリセットします。 
    OCSP.Responder.store.defStore.refreshInSec=21600
    Copy to Clipboard Toggle word wrap
  4. オンラインのクローン作成された OCSP サーバーを停止します。 
    # systemctl stop pki-tomcatd@instance_name.service
    Copy to Clipboard Toggle word wrap
  5. クローン作成された OCSP レスポンダーの設定ディレクトリーを開きます。 
    # cd /etc/instance_name
    Copy to Clipboard Toggle word wrap
  6. CS.cfg ファイルを開き、OCSP.Responder.store.defStore.refreshInSec パラメーターを削除するか、その値をゼロ以外の数字に変更します。 
    OCSP.Responder.store.defStore.refreshInSec=15000
    Copy to Clipboard Toggle word wrap
  7. 新規マスター OCSP レスポンダーサーバーを起動します。 
    # systemctl start pki-tomcatd@instance_name.service
    Copy to Clipboard Toggle word wrap
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat