第23章 OpenSSL CA の Certificate System への移行
Red Hat Certificate System は、既存の OpenSSL Certificate Authority (CA) を、既存の CA 署名キーを使用する新しい Certificate System CA に移行するメカニズムを提供します。
注記
Certificate System 8 から 9 への移行は、この手順の特別な実装で、22章Certificate System 8 から 9 への移行 で説明されています。
環境に応じて、以下を参照してください。
23.1. HSM を使用しない場合の OpenSSL CA の Certificate System への移行
- 次のステップで使用するパスワードを含むファイルを作成します。以下に例を示します。
# echo password > ~/password.txt
- openssl pkcs12 コマンドを使用して、OpenSSL CA 証明書とキーを PKCS #12 ファイルにインポートします。以下のオプションを使用します。
-export
は、データをエクスポートするように openssl コマンドに指示します。-in path_to_ca_certificate
は、OpenSSL CA 証明書へのパスを設定します。-inkey path_to_CA_signing_key
は、OpenSSL CA 署名キーへのパスを設定します。-out path_to_PKCS_#12_file
は、出力が格納される PKCS #12 ファイルへのパスを設定します。-name "friendly_name"
は、証明書とキーにフレンドリー名を指定します。-passout file: path_to_password_file
は、PKCS #12 ファイルの暗号化に使用されるパスワードを含むテキストファイルへのパスを設定します。
たとえば、OpenSSL CA 証明書とキーを~/ca.p12
ファイルにエクスポートするには、次のようにします。# openssl pkcs12 -export -in ~/ca.crt -inkey ~/ca.key -out ~/ca.p12 \ -name "CA Certificate" -passout file:~/password.txt
- Public Key Infrastructure (PKI) コマンドラインインターフェイス用に、パスワードで保護された Network Security Services (NSS) データベースを初期化します。以下に例を示します。
# pki -c password client-init
~/password.txt
ファイルのパスワードを使用して、~/ca.12
ファイルに保存されている CA 証明書のニックネームでCA 証明書
のCTu,Cu,Cu
信頼フラグを設定します。# pki pkcs12-cert-mod --pkcs12-file ~/ca.p12 "CA Certificate" \ --pkcs12-password-file ~/password.txt --trust-flags "CTu,Cu,Cu"
重要スペースなしで信頼フラグを入力します。~/ca.p12
ファイルに保存されている CA 証明書を表示します。# pki pkcs12-cert-find --pkcs12-file ~/ca.p12 \ --pkcs12-password-file ~/password.txt --------------- 1 entries found -------------- Certificate ID: 9311084d08b37d12e856b904b7e52eb3b1cece4a Serial Number: 0xe3f2b350edcd875c Nickname: CA Certificate Subject DN: O=Example,CN=CA Certificate Issuer DN: O=Example,CN=CA Certificate Trust Flags: CTu,Cu,Cu Has Key: true
~/ca.p12
ファイルに保存されている CA 署名キーを表示します。# pki pkcs12-key-find --pkcs12-file ~/ca.p12 \ --pkcs12-password-file ~/password.txt --------------- 1 entries found --------------- Key ID: 9311084d08b37d12e856b904b7e52eb3b1cece4a Subject DN: CA Certificate Algorithm: RSA
- 次のファイルを新しい Certificate System ホストにコピーします。
- OpenSSL CA 署名証明書要求 (CSR)
- OpenSSL CA 証明書チェーン (利用可能な場合)
- OpenSSL CA 署名証明書と鍵を含む PKCS #12 ファイル
- PKCS #12 ファイルを保護するために使用されるパスワードファイル
たとえば、セキュアコピーを使用してファイルをコピーするには、次のようにします。# scp ~/ca.csr ~/certificate_chain.p7b ~/ca.p12 ~/password.txt new_server:~/
- 新しいホストで CA を設定します。詳細は、「新規ホストでの CA の設定」 を参照してください。
移行後、OpenSSL CA を非アクティブ化するか、オンライン証明書ステータスプロトコル (OCSP) 要求にのみ応答する読み取り専用モードで実行できます。