Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第23章 OpenSSL CA の Certificate System への移行

Red Hat Certificate System は、既存の OpenSSL Certificate Authority (CA) を、既存の CA 署名キーを使用する新しい Certificate System CA に移行するメカニズムを提供します。
注記
Certificate System 8 から 9 への移行は、この手順の特別な実装で、22章Certificate System 8 から 9 への移行 で説明されています。
環境に応じて、以下を参照してください。

23.1. HSM を使用しない場合の OpenSSL CA の Certificate System への移行
リンクのコピー

  1. 次のステップで使用するパスワードを含むファイルを作成します。以下に例を示します。 
    # echo password > ~/password.txt
    Copy to Clipboard Toggle word wrap
  2. openssl pkcs12 コマンドを使用して、OpenSSL CA 証明書とキーを PKCS #12 ファイルにインポートします。以下のオプションを使用します。
    • -export は、データをエクスポートするように openssl コマンドに指示します。
    • -in path_to_ca_certificate は、OpenSSL CA 証明書へのパスを設定します。
    • -inkey path_to_CA_signing_key は、OpenSSL CA 署名キーへのパスを設定します。
    • -out path_to_PKCS_#12_file は、出力が格納される PKCS #12 ファイルへのパスを設定します。
    • -name "friendly_name" は、証明書とキーにフレンドリー名を指定します。
    • -passout file: path_to_password_file は、PKCS #12 ファイルの暗号化に使用されるパスワードを含むテキストファイルへのパスを設定します。
    たとえば、OpenSSL CA 証明書とキーを ~/ca.p12 ファイルにエクスポートするには、次のようにします。 
    # openssl pkcs12 -export -in ~/ca.crt -inkey ~/ca.key -out ~/ca.p12 \
     -name "CA Certificate" -passout file:~/password.txt
    Copy to Clipboard Toggle word wrap
  3. Public Key Infrastructure (PKI) コマンドラインインターフェイス用に、パスワードで保護された Network Security Services (NSS) データベースを初期化します。以下に例を示します。 
    # pki -c password client-init
    Copy to Clipboard Toggle word wrap
  4. ~/password.txt ファイルのパスワードを使用して、~/ca.12 ファイルに保存されている CA 証明書のニックネームで CA 証明書CTu,Cu,Cu 信頼フラグを設定します。 
    # pki pkcs12-cert-mod --pkcs12-file ~/ca.p12 "CA Certificate" \
     --pkcs12-password-file ~/password.txt --trust-flags "CTu,Cu,Cu"
    Copy to Clipboard Toggle word wrap
    重要
    スペースなしで信頼フラグを入力します。
  5. ~/ca.p12 ファイルに保存されている CA 証明書を表示します。 
    # pki pkcs12-cert-find --pkcs12-file ~/ca.p12 \
     --pkcs12-password-file ~/password.txt
---------------
1 entries found
--------------
  Certificate ID: 9311084d08b37d12e856b904b7e52eb3b1cece4a
  Serial Number: 0xe3f2b350edcd875c
  Nickname: CA Certificate
  Subject DN: O=Example,CN=CA Certificate
  Issuer DN: O=Example,CN=CA Certificate
  Trust Flags: CTu,Cu,Cu
  Has Key: true
    Copy to Clipboard Toggle word wrap
  6. ~/ca.p12 ファイルに保存されている CA 署名キーを表示します。 
    # pki pkcs12-key-find --pkcs12-file ~/ca.p12 \
     --pkcs12-password-file ~/password.txt
---------------
1 entries found
---------------
  Key ID: 9311084d08b37d12e856b904b7e52eb3b1cece4a
  Subject DN: CA Certificate
  Algorithm: RSA
    Copy to Clipboard Toggle word wrap
  7. 次のファイルを新しい Certificate System ホストにコピーします。
    • OpenSSL CA 署名証明書要求 (CSR)
    • OpenSSL CA 証明書チェーン (利用可能な場合)
    • OpenSSL CA 署名証明書と鍵を含む PKCS #12 ファイル
    • PKCS #12 ファイルを保護するために使用されるパスワードファイル
    たとえば、セキュアコピーを使用してファイルをコピーするには、次のようにします。 
    # scp ~/ca.csr ~/certificate_chain.p7b ~/ca.p12 ~/password.txt new_server:~/
    Copy to Clipboard Toggle word wrap
  8. 新しいホストで CA を設定します。詳細は、「新規ホストでの CA の設定」 を参照してください。
移行後、OpenSSL CA を非アクティブ化するか、オンライン証明書ステータスプロトコル (OCSP) 要求にのみ応答する読み取り専用モードで実行できます。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat