7.10. インストール後のタスク
pkispawn
ユーティリティーを使用したインストールが完了したら、サイトの設定に応じて、さらに設定をカスタマイズすることができます。詳細は、パートIII「Certificate System の設定」で説明してください。
本セクションでは、デプロイメントのセキュリティーを強化するために、パートIII「Certificate System の設定」 からの操作のリストを紹介します。
7.10.1. RHCS の日付/時刻の設定
RHCS を実行するための時間を正しく設定しておくことが重要です。『Red Hat Certificate System 管理ガイド』の『日時の設定』セクションを参照してください。
7.10.2. Directory Server (CA) での一時的な自己署名証明書の置き換え
内部 LDAP サーバーが一時的な自己署名サーバー証明書で最初に作成された場合は、「一時的な証明書の置き換え」 を参照して、インストールした CA が発行する新しい証明書に置き換えます。
7.10.3. 内部 LDAP サーバーの TLS クライアント認証の有効化
Red Hat Certificate System は、TLS 相互認証を介して内部 LDAP サーバーと通信できます。詳細は、「TLS クライアント認証の有効化」を参照してください。
7.10.4. セッションタイムアウトの設定
さまざまなタイムアウト設定がシステムに存在し、終了前に TLS セッションがアイドル状態の意地する時間に影響を与える可能性があります。詳細は、「セッションのタイムアウト」 を参照してください。
7.10.5. CRL または証明書の発行
CRL 公開は、OCSP サービスを提供する際に重要です。証明書の公開は任意になりますが、多くの場合、サイトで必要になります。詳細は、『Red Hat Certificate System 管理ガイド』の『証明書および CRL の公開』セクションを参照してください。
7.10.6. 証明書登録プロファイル (CA) の設定
RHCS には、証明書登録プロファイルのカスタマイズを可能にするリッチプロファイルフレームワークがあります。システムで使用できるデフォルトのプロファイルを有効またはにしたり、既存のプロファイルを変更したり、独自のプロファイルを作成することが非常に一般的です。詳細は、15章証明書プロファイルの設定 を参照してください。
7.10.7. アクセスバナーの有効化
ユーザーインターフェイスバナーを有効にするには、「アクセスバナーの有効化」を参照してください。
7.10.8. Watchdog サービスの有効化
ウォッチドッグ (nuxwdog) サービスは、セキュアなシステムパスワード管理を提供します。詳細は、「Watchdog サービスの有効化」 を参照してください。
7.10.9. CMC 登録および失効 (CA) の設定
証明書の登録と失効は CMC で行うことができます。
- CMC Shared Token Feature の有効化に関する詳細は、「CMC 共有シークレット機能の有効化」を参照してください。
PopLinkWittness
機能を有効にする方法は、「PopLinkWittnessV2
機能の有効化」 を参照してください。- Web ユーザーインターフェイスの
CMCRevoke
を有効にする方法は、「Web ユーザーインターフェイスの CMCRevoke の有効化」 を参照してください。
7.10.10. Java コンソールの TLS クライアント認証
Certificate System 管理者が Java コンソールにログインするときにユーザー TLS クライアント証明書を提示するように要求するには、「TLS クライアント証明書認証を使用するための
pkiconsole
要件の設定」を参照してください。
7.10.11. ロールユーザーの作成
ブートストラップユーザーを削除できるように、実際のロールユーザーを作成します。
ユーザーを作成して異なる特権ロールに割り当てて、Certificate System を管理するには、18章ロールユーザーの作成を参照してください。
7.10.12. Bootstrap ユーザーの削除
実際のロールユーザーが作成されると、インストール時に自動的に作成されたブートストラップユーザーは不要になりました。このアカウントを削除するには、個人個人に割り当てられている新しい管理者アカウントを作成したことを確認してから、19章Bootstrap ユーザーの削除 を参照してください。
7.10.13. マルチロールサポートの無効化
ブートストラップユーザーが削除された後にマルチロールサポートを無効にするには、「マルチロールサポートの無効化」を参照してください。
7.10.14. KRA の設定
7.10.14.1. KRA (Key Recovery Authority) に複数のエージェント承認の要件の追加
複数の KRA エージェントがキーリカバリーを承認するための要件を設定するには、『Red Hat Certificate System 管理ガイド』の『コマンドラインでのエージェント承認キーリカバリーの設定』を参照してください。
7.10.14.2. KRA 暗号化設定の設定
キーの暗号化/ラップアルゴリズムを設定する場合は、「KRA 操作の暗号化」を参照してください。
7.10.15. ユーザーインターフェイスを使用するようにユーザーを設定
ユーザーが承認されたユーザーインターフェイスを使用する前に、初期化を行う必要があります。ユーザー (管理ロールなど) は、ユーザーインターフェイスにアクセスするためにクライアントを設定するために必要です。『Red Hat Certificate System 管理ガイド』の『クライアント NSS データベースの初期化』セクションを参照してください。