7.9. スタンドアロン KRA または OCSP の設定
本セクションでは、スタンドアロンの KRA および OCSP をインストールする方法を説明します。スタンドアロンインストールでは、Certificate System 以外の CA を使用して証明書を発行する柔軟性が提供されます。これは、インストール中に生成された CSR が CA に自動的に送信され、サブシステムにインポートされないためです。また、スタンドアロンモードにインストールされた KRA または OCSP は CA のセキュリティードメインの一部ではなく、キーのアーカイブ CA のコネクターは設定されません。
スタンドアロン KRA または OCSP をインストールするには、以下を行います。
- 以下の内容で、
/root/config.txt
などの設定ファイルを作成します。[DEFAULT] pki_admin_password=password pki_client_database_password=password pki_client_pkcs12_password=password pki_ds_password=password pki_token_password=password pki_client_database_purge=False pki_security_domain_name=EXAMPLE pki_standalone=True pki_external_step_two=False
- スタンドアロンの KRA の場合は、設定ファイルに以下のセクションを追加します。
[KRA] pki_admin_email=kraadmin@example.com pki_ds_base_dn=dc=kra,dc=example,dc=com pki_ds_database=kra pki_admin_nickname=kraadmin pki_audit_signing_nickname=kra_audit_signing pki_sslserver_nickname=sslserver pki_storage_nickname=kra_storage pki_subsystem_nickname=subsystem pki_transport_nickname=kra_transport pki_standalone=True
- スタンドアロン OCSP の場合は、設定ファイルに以下のセクションを追加します。
[OCSP] pki_admin_email=ocspadmin@example.com pki_ds_base_dn=dc=ocsp,dc=example,dc=com pki_ds_database=ocsp pki_admin_nickname=ocspadmin pki_audit_signing_nickname=ocsp_audit_signing pki_ocsp_signing_nickname=ocsp_signing pki_sslserver_nickname=sslserver pki_subsystem_nickname=subsystem pki_standalone=True
- 同じホストで実行している Directory Server への LDAPS 接続を使用するには、設定ファイルの
DEFAULT
セクションに以下のパラメーターを追加します。pki_ds_secure_connection=True pki_ds_secure_connection_ca_pem_file=path_to_CA_or_self-signed_certificate
注記セキュリティー上の理由から、Red Hat は、Directory Server への暗号化された接続を使用することを推奨します。Directory Server で自己署名証明書を使用する場合は、以下のコマンドを使用して Directory Server の Network Security Services (NSS) データベースからエクスポートします。# certutil -L -d /etc/dirsrv/slapd-instance_name/ \ -n "server-cert" -a -o /root/ds.crt
- 「外部 CA を使用したサブシステムのインストールの開始」 に記載されている手順に進みます。