7.8. 外部 CA でのサブシステムの設定
7.8.1. 内部 CA と外部 CA の相違点
Red Hat Certificate System では、
pkispawn
ユーティリティーがサブシステム証明書署名要求 (CSR) を以前にインストールされた Certificate System に送信すると、上記の証明書が pkispawn
で受信されて使用され、その CSR が送られる CA は Internal CA
と呼ばれます。
一方、
External CA
は以下のいずれかになります。
- Certificate System の下位 CA の署名証明書を発行する RedHat Certificate System 以外の CA。
- CSR の直接送信を許可しない Red Hat Certificate System CA がインストールされていました。たとえば、ご使用の環境で、下位 CA、KRA、OCSP、TKS、または TPS からの CSR を必要とする場合、これは PKCS #10 以外の形式である必要があります。
7.8.2. 外部 CA を使用したサブシステムのインストール
本セクションでは、証明書が外部 CA により署名される下位 CA または他のサブシステムを設定する方法を説明します。
外部 CA インストール用の設定ファイルの準備
サブシステムを Certificate System またはスタンドアロンに統合するかどうかに応じて、設定ファイルを準備します。
- 既存の Certificate System インストールに統合されていて、外部 CA により署名された証明書を使用するサブシステムをインストールする場合は、以下を行います。
- サブシステムの設定ファイルを作成します。「インストールの最初ステップ用の設定ファイルの作成」を参照してください。
- 以下の設定を設定ファイルに追加します。
- CA インストールの場合:
pki_external=True pki_external_step_two=False pki_ca_signing_csr_path=path/to/ca_signing.csr pki_ca_signing_cert_path=path/to/ca_signing.crt
- KRA インストールの場合:
pki_external=True pki_external_step_two=False pki_storage_csr_path=/home/user_name/kra_storage.csr pki_transport_csr_path=/home/user_name/kra_transport.csr pki_subsystem_csr_path=/home/user_name/subsystem.csr pki_sslserver_csr_path=/home/user_name/sslserver.csr pki_audit_signing_csr_path=/home/user_name/kra_audit_signing.csr pki_admin_csr_path=/home/user_name/kra_admin.csr
- OCSP インストールの場合:
pki_external=True pki_external_step_two=False pki_ocsp_signing_csr_path=/home/user_name/ocsp_signing.csr pki_subsystem_csr_path=/home/user_name/subsystem.csr pki_sslserver_csr_path=/home/user_name/sslserver.csr pki_audit_signing_csr_path=/home/user_name/ocsp_audit_signing.csr pki_admin_csr_path=/home/user_name/ocsp_admin.csr
- 既存の Certificate System インストールに統合されていないスタンドアロンの KRA または OCSP をインストールする場合は、「スタンドアロン KRA または OCSP の設定」に記載されている手順を実行します。
外部 CA を使用したサブシステムのインストールの開始
設定ファイルを使用してインストールを開始するには、以下を行います。
pkispawn
ユーティリティーを使用してインストールを開始します。# pkispawn -f /root/config.txt -s subsystem
subsystem は、インストールするサブシステム (CA
、KRA
またはOCSP
) に置き換えます。このステップでは、セットアップでは、設定で指定されたファイルに CSR が保管されます。- 外部 CA に CSR を送信します。CA が対応する証明書を発行した後に続行します。特定の環境では、外部 CA が Certificate System インスタンスでもある場合は、PKCS#10 形式の CSR を、CA に送信する前に ESP 形式に変換する必要があります。証明書の発行に関する詳細は、『Red Hat Certificate System 管理ガイド』『UMC を使用した証明書の発行』セクションを参照してください。
- オプションで、インストールをカスタマイズします。詳細は、「インストール手順間の設定のカスタマイズ」 を参照してください。
- 外部 CA が証明書を発行したら、デプロイメント設定ファイルを編集します。
pki_external_step_two
を True に設定します。pki_external_step_two=True
- インストールするサブシステムに応じて、以下のパラメーターを追加します。
- CA の場合は、証明書ファイルへのパスを設定します。以下に例を示します。
pki_ca_signing_cert_path=/home/user_name/ca_signing.crt
指定したファイルに証明書チェーンを含む証明書が含まれていない場合は、さらに証明書チェーンファイルへのパスとニックネームを指定します。以下に例を示します。pki_cert_chain_path=/home/user_name/cert_chain.p7b pki_cert_chain_nickname=CA Signing Certificate
- KRA の場合には、証明書ファイルへのパスを設定します。以下に例を示します。
pki_storage_cert_path=/home/user_name/kra_storage.crt pki_transport_cert_path=/home/user_name/kra_transport.crt pki_subsystem_cert_path=/home/user_name/subsystem.crt pki_sslserver_cert_path=/home/user_namesslserver.crt pki_audit_signing_cert_path=/home/user_name/kra_audit_signing.crt pki_admin_cert_path=/home/user_name/kra_admin.crt
指定したファイルに証明書チェーンを含む証明書が含まれていない場合は、署名証明書ファイルと証明書チェーンファイルへのパスと、そのニックネームを指定します。以下に例を示します。pki_ca_signing_nickname=CA Signing Certificate pki_ca_signing_cert_path=/home/user_name/ca_signing.crt pki_cert_chain_nickname=External Certificate Chain pki_cert_chain_path=/home/user_name/cert_chain.p7b
- OCSP の場合には、証明書ファイルへのパスを設定します。以下に例を示します。
pki_ocsp_signing_cert_path=/home/user_name/ocsp_signing.crt pki_subsystem_cert_path=/home/user_name/subsystem.crt pki_sslserver_cert_path=/home/user_name/sslserver.crt pki_audit_signing_cert_path=/home/user_name/ocsp_audit_signing.crt pki_admin_cert_path=/home/user_name/ocsp_admin.crt
指定したファイルに証明書チェーンを含む証明書が含まれていない場合は、署名証明書ファイルと証明書チェーンファイルへのパスと、そのニックネームを指定します。以下に例を示します。pki_ca_signing_nickname=CA Signing Certificate pki_ca_signing_cert_path=/home/user_name/ca_signing.crt pki_cert_chain_nickname=External Certificate Chain pki_cert_chain_path=/home/user_name/cert_chain.p7b
- 必要に応じて、設定ファイルをカスタマイズします。例については、「インストール手順間の設定のカスタマイズ」を参照してください。
- 設定手順を開始します。
# pkispawn -f /root/config.txt -s subsystem
subsystem は、インストールするサブシステム (CA
、KRA
またはOCSP
) に置き換えます。
7.8.3. インストール後の設定
上記の手順を完了したら、インストール後の操作について 「インストール後のタスク」 に従ってください。