Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

9.6. CMC の設定

本セクションでは、CMS (CMC) で証明書管理に Certificate System を設定する方法を説明します。

9.6.1. CMC の仕組み
リンクのコピー

CMC を設定する前に、以下のドキュメントを参照してこのトピックの詳細を確認してください。
  • 「CMC を使用した登録」
  • Certificate System 管理ガイド (Common Criteria Edition)』 の 『CMC を使用した証明書のリクエストと受信』。
  • Certificate System 管理ガイド (Common Criteria Edition)』 の 『証明書の発行に関するルールの作成 (証明書プロファイル)』 を参照してください。

9.6.2. PopLinkWittnessV2 機能の有効化
リンクのコピー

認証局(CA)の高レベルのセキュリティーの場合は、/var/lib/pki/instance_name/ca/conf/CS.cfg ファイルで以下のオプションを有効にします。 
cmc.popLinkWitnessRequired=true
Copy to Clipboard Toggle word wrap

9.6.3. CMC 共有シークレット機能の有効化
リンクのコピー

認証局 (CA) で共有トークン機能を有効にするには、以下を実行します。
  1. ホストでウォッチドッグサービスが有効になっている場合は、そのサービスを一時的に無効にします。「Watchdog サービスの無効化」を参照してください。
  2. shrTok 属性を Directory Server のスキーマに追加します。 
    # ldapmodify -D "cn=Directory Manager" -H ldaps://server.example.com:636 -W -x

dn: cn=schema
changetype: modify
add: attributetypes
attributetypes: ( 2.16.840.1.117370.3.1.123 NAME 'shrTok' DESC 'User
 Defined ObjectClass for SharedToken' SYNTAX 1.3.6.1.4.1.1466.115.121.1.40
 SINGLE-VALUE X-ORIGIN 'custom for sharedToken')
    Copy to Clipboard Toggle word wrap
  3. システムキーが Hardware Security Module (HSM)に保存されている場合は、/var/lib/pki/instance_name/ca/conf/CS.cfg ファイルに cmc.token パラメーターを設定します。以下に例を示します。 
    cmc.token=NHSM6000
    Copy to Clipboard Toggle word wrap
  4. 以下の方法のいずれかを使用して、共有トークン認証プラグインを有効にします。
    • pkiconsole ユーティリティーを使用してプラグインを有効にするには、次のコマンドを実行します。
      1. pkiconsole ユーティリティーを使用してシステムにログインします。以下に例を示します。 
        # pkiconsole https:host.example.com:8443/ca
        Copy to Clipboard Toggle word wrap
      2. Configuration タブで、Authentication を選択します。
      3. Add をクリックして SharedToken を選択します。
      4. Next をクリックします。
      5. 以下の情報を入力します。 
        Authentication InstanceID=SharedToken
shrTokAttr=shrTok
ldap.ldapconn.host=server.example.com
ldap.ldapconn.port=636
ldap.ldapconn.secureConn=true
ldap.ldapauth.bindDN=cn=Directory Manager
password=password
ldap.ldapauth.authtype=BasicAuth
ldap.basedn=ou=People,dc=example,dc=org
        Copy to Clipboard Toggle word wrap
      6. OK をクリックします。
    • プラグインを手動で有効にするには、以下の設定を /var/lib/pki/instance_name/ca/conf/CS.cfg ファイルに追加します。 
      auths.impl.SharedToken.class=com.netscape.cms.authentication.SharedSecret
auths.instance.SharedToken.dnpattern=
auths.instance.SharedToken.ldap.basedn=ou=People,dc=example,dc=org
auths.instance.SharedToken.ldap.ldapauth.authtype=BasicAuth
auths.instance.SharedToken.ldap.ldapauth.bindDN=cn=Directory Manager
auths.instance.SharedToken.ldap.ldapauth.bindPWPrompt=Rule SharedToken
auths.instance.SharedToken.ldap.ldapauth.clientCertNickname=
auths.instance.SharedToken.ldap.ldapconn.host=server.example.com
auths.instance.SharedToken.ldap.ldapconn.port=636
auths.instance.SharedToken.ldap.ldapconn.secureConn=true
auths.instance.SharedToken.ldap.ldapconn.version=3
auths.instance.SharedToken.ldap.maxConns=
auths.instance.SharedToken.ldap.minConns=
auths.instance.SharedToken.ldapByteAttributes=
auths.instance.SharedToken.ldapStringAttributes=
auths.instance.SharedToken.pluginName=SharedToken
auths.instance.SharedToken.shrTokAttr=shrTok
      Copy to Clipboard Toggle word wrap
  5. /var/lib/pki/instance_name/ca/conf/CS.cfg ファイルの ca.cert.issuance_protection.nickname パラメーターで、RSA 発行保護証明書のニックネームを設定します。以下に例を示します。 
    ca.cert.issuance_protection.nickname=issuance_protection_certificate
    Copy to Clipboard Toggle word wrap
    このステップは以下のとおりです。
    • ca.cert.subsystem.nickname パラメーターで RSA 証明書を使用する場合はオプションになります。
    • ca.cert.subsystem.nickname パラメーターで ECC 証明書を使用する場合に必須です。
    重要
    ca.cert.issuance_protection.nickname パラメーターが設定されていない場合、Certificate System は ca.cert.subsystem.nicknameで指定されたサブシステムの証明書を自動的に使用します。ただし、発行保護証明書は RSA 証明書である必要があります。
  6. Certificate System を再起動します。 
    # systemctl restart pki-tomcatd@instance_name.service
    Copy to Clipboard Toggle word wrap
    CA が起動すると、Certificate System は Shared Token プラグインが使用する LDAP パスワードを要求します。
  7. この手順の最初に watchdog サービスを一時的に無効にした場合は、再度有効にします。「Watchdog サービスの有効化」を参照してください。

9.6.4. Web ユーザーインターフェイスの CMCRevoke の有効化
リンクのコピー

Red Hat Certificate System 管理ガイド (Common Criteria Edition)』 の 『CMC 失効の実行』 セクションで説明されているように、CMC 失効リクエストを送信するには 2 つの方法があります。
CMCRevoke ユーティリティーを使用して、Web UI で送信される失効要求を作成する場合は、以下の設定を /var/lib/pki/instance_name/ca/conf/CS.cfg ファイルに追加します。 
cmc.bypassClientAuth=true
Copy to Clipboard Toggle word wrap
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat