8.4. HSM を使用したクローンサブシステムのインストール
通常、クローンサブシステムは、マスターサブシステムのシステムキーを含む PKCS #12 ファイルを使用して作成されます。このファイルは、インストールに使用する設定ファイルで
pki_backup_keys
を True に設定して pki_backup_password
オプションの定義値と一緒にインストールするか、または PKCS12Export ツールを使用して鍵をエクスポートすることで、マスターサブシステムのインストール中に生成されます。
HSM を使用している場合は、HSM からキーを取得できないため、このツールを使用して PKCS#12 ファイルを生成することはできません。代わりに、クローンサブシステムは、マスターサブシステムが使用する HSM を指すようにして、同じキーにアクセスできるようにする必要があります。別の HSM を使用する場合は、HSM ベンダーが提供するユーティリティーを使用して、この HSM に鍵のクローンを作成します。
pkispawn
ユーティリティーを実行する前に、master サブシステムのキーへのアクセスを提供する必要があります。
Certificate System は、HSM を使用してインストールする際に PKCS #12 を使用しないため、PKCS #12 ファイルの場所とそのパスワードについて、設定ファイルでパラメーターを設定する必要はありません。以下の例は、CA クローンの生成に必要な各 PKI 設定ファイルの
[Tomcat]
セクションからオプションを示しています。
非 HSM CA のクローンを生成するには、以下を行います。
pki_clone
=Truepki_clone_pkcs12_password
=Secret123pki_clone_pkcs12_path
=<path_to_pkcs12_file>pki_clone_replicate_schema
=True (デフォルト値)pki_clone_uri
=https://<master_ca_host_name>:<master_ca_https_port>
HSM を使用して CA クローンを生成するには、以下を行います。
pki_clone
=Truepki_clone_replicate_schema
=True (デフォルト値)pki_clone_uri
=https://<master_ca_host_name>:<master_ca_https_port>
注記
マスターサブシステムが同じ証明書と鍵をそのクローンと共有できるようにするには、HSM が共有モードにあり、すべてのサブシステムからアクセスできるネットワーク上にある必要があります。