Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

7.3. pkispawn ユーティリティーを使用したインストール

次のセクションを慎重に読んで、このセクションのインストール例に従うときに正しい選択を行っていることを確認してください。

7.3.1. pkispawn ユーティリティーについて
リンクのコピー

Red Hat Certificate System では、管理者は pkispawn ユーティリティーを実行して個々の公開鍵インフラストラクチャー(PKI)サブシステムを設定します。
pkispawn ユーティリティーには設定ファイルが必要です。このファイルには、セクションにグループ化されたパラメーターが含まれています。これらのセクションは積み重ねられているため、前のセクションで定義されたパラメーターを後のセクションで定義されたパラメーターでオーバーライドできます。セクションは次の順序で読まれます。
  1. [DEFAULT]
  2. [Tomcat]
  3. サブシステム固有のセクション: [CA]KRA、OCSP [OCSP]TKS、または TPS
設定時に、pkispawn
  1. まず、/etc/pki/default.cfg ファイルからデフォルト値を読み取ります。
    重要
    /etc/pki/default.cfg ファイルは編集しないでください。pkispawn ユーティリティーに渡されるときにデフォルトを上書きする設定ファイルを作成するように指示されます。設定ファイルで設定されていないパラメーターは、デフォルト値を使用します。設定ファイルの使用方法は、pkispawnを使用した 2 ステップのインストール」を参照してください。
  2. 上記の管理者が提供する設定ファイルを読み取り、デフォルト値をオーバーライドします。
  3. 要求された PKI サブシステムのインストールを実行します。
  4. 設定に基づいて設定を行う Java サーブレットに設定を渡します。
pkispawn および例に関する一般的な情報は、pkispawn(8) および pki_default.cfg(5) の man ページを参照してください。
CA、KRA、または OCSP サブシステムをインストールする方法は、次を参照してください。pkispawnを使用した 2 ステップのインストール」
TKS または TPS サブシステムをインストールする方法は、次を参照してください。pkispawn を使用した単一ステップのインストール(TMS のみ)」

7.3.2. pkispawnを使用した 2 ステップのインストール
リンクのコピー

CA、KRA、または OCSP サブシステムをインストールするには、pkispawn の 2 ステップインストールを使用して、管理者がインストールの 2 つの部分間で設定ファイルを手動で更新できるようにします。
two-step installation という名前は、インストールを完了するために上書き設定ファイルに若干異なるパラメーターセットを使用し、pkispawn ユーティリティーが 2 回実行されることが多いという事実から来ています。
2 ステップインストールは、次の主要部分で設定されています。
  1. pkispawn ユーティリティーを使用したインストール (ステップ 1)
    このステップでは、pkispawn は設定ファイルを /usr/share/pki/ ディレクトリーからインスタンス固有の /etc/pki/instance_name/ ディレクトリーにコピーします。さらに、pkispawn は、デプロイメント設定ファイルで定義された値に基づいて設定を行います。
    インストールのこの部分には、以下のサブステップが含まれます。
    1. 「インストールの最初ステップ用の設定ファイルの作成」
    2. pkispawn ステップ 1 インストールの開始」
  2. ステップ間の設定とカスタマイズ
    詳細は、「2 つの pkispawn インストール手順間の設定」を参照してください。
  3. pkispawn ユーティリティーを使用した設定 (ステップ 2)
    このステップでは、pkispawn を実行して、インスタンス固有の /etc/pki/instance_name/ ディレクトリーの設定ファイルに基づいてインストールを続行します。
    インストールのこの部分の詳細については、pkispawn ステップ 2 インストールの開始」 を参照してください。
環境によっては、追加の設定およびカスタマイズ手順が必要です。

7.3.2.1. インストールの最初ステップ用の設定ファイルの作成
リンクのコピー

/root/pki/config.subsystem.txt などの pkispawn 設定用のテキストファイルを作成し、これを以下の設定で入力します。すべての設定を追加する必要があります。
重要
本セクションでは、Certificate System と同じホストで実行している Directory Server の最低限の設定を説明します。環境に応じて、追加パラメーターが必要になる場合があります。その他の例は、pkispawn(8) man ページの 『EXAMPLES』 セクションを参照してください。

サブシステムに依存しない設定

インストールするサブシステムとは関係なく、設定ファイルには次の設定が必要です。
  • [DEFAULT] セクション:
    1. 一意のインスタンス名を設定します。 
      pki_instance_name=instance_name
      Copy to Clipboard Toggle word wrap
    2. ホスト名とセキュリティードメイン名を設定します。 
      pki_host=server.example.com
pki_security_domain_name=example.com Security Domain
pki_security_domain_user=caadmin
pki_security_domain_password=SD password
      Copy to Clipboard Toggle word wrap
      注記
      Certificate System は、これらのパラメーターとインスタンス名に基づいて一意の証明書ニックネームを作成します。証明書のニックネームの一意性は、複数の PKI インスタンスで共有される HSM トークンの機能を維持する上で非常に重要です。
    3. HTTP および HTTPS プロトコルのポート番号を設定します。 
      pki_https_port=port_number
pki_http_port=port_number
      Copy to Clipboard Toggle word wrap
      重要
      同じホストで複数の Certificate System インスタンスを実行するには、ホスト上の他のサービスで使用されていない pki_https_port パラメーターおよび pki_http_port パラメーターにポートを設定する必要があります。デフォルトでは、Certificate System は HTTP にポート 8080 を、HTTPS に 8443 を使用します。
    4. HSM 固有のパラメーターを設定します。 
      pki_hsm_enable=True
pki_hsm_libfile=HSM_PKCS11_library_path
pki_hsm_modulename=HSM_module_name
pki_token_name=HSM_token_name
pki_token_password=HSM_token_password


pki_audit_signing_token=HSM_token_name
pki_subsystem_token=HSM_token_name
pki_sslserver_token=HSM_token_name
      Copy to Clipboard Toggle word wrap
      詳細は、「HSM を使用した証明書システムのインストールの準備」 を参照してください。
    5. RSA Certificate System インスタンスを構築する場合は、次の設定を使用します。 
      pki_admin_key_algorithm=SHA256withRSA
pki_admin_key_size=4096
pki_admin_key_type=rsa
pki_sslserver_key_algorithm=SHA256withRSA
pki_sslserver_key_size=4096
pki_sslserver_key_type=rsa
pki_subsystem_key_algorithm=SHA256withRSA
pki_subsystem_key_size=4096
pki_subsystem_key_type=rsa
pki_audit_signing_key_algorithm=SHA256withRSA
pki_audit_signing_key_size=4096
pki_audit_signing_key_type=rsa
pki_audit_signing_signing_algorithm=SHA256withRSA
      Copy to Clipboard Toggle word wrap
      key_algorithm パラメーターの選択肢は次のとおりです。
      • SHA256withRSA
      • SHA384withRSA
      • SHA512withRSA
      注記
      このパラメーターは、CA の CS.cfg ファイルの ca.profiles.defaultSigningAlgsAllowed パラメーターで指定された各値に設定できます。詳細は、『Red Hat Certificate System 管理ガイド (Common Criteria Edition)』 の 『署名アルゴリズムの制約』 セクションを参照してください。
      署名アルゴリズム(RSA)は key_type (rsa)と一致する必要があります。
      key_type で許可されている選択肢は rsa のみです。
      key_size で許可されている選択肢は 20484096 です。
    6. 証明書の作成時に RSA の代わりに楕円曲線暗号 (ECC) を使用するには、次のように設定します。 
      pki_admin_key_algorithm=SHA256withEC
pki_admin_key_size=nistp256
pki_admin_key_type=ecc
pki_sslserver_key_algorithm=SHA256withEC
pki_sslserver_key_size=nistp256
pki_sslserver_key_type=ecc
pki_subsystem_key_algorithm=SHA256withEC
pki_subsystem_key_size=nistp256
pki_subsystem_key_type=ecc
pki_audit_signing_key_algorithm=SHA256withEC
pki_audit_signing_key_size=nistp256
pki_audit_signing_key_type=ecc
pki_audit_signing_signing_algorithm=SHA256withEC
      Copy to Clipboard Toggle word wrap
      key_algorithm パラメーターの選択肢は次のとおりです。
      • SHA256withEC
      • SHA384withEC
      • SHA512withEC
      注記
      このパラメーターは、CA の CS.cfg ファイルの ca.profiles.defaultSigningAlgsAllowed パラメーターで指定された各値に設定できます。詳細は、『Red Hat Certificate System 管理ガイド (Common Criteria Edition)』 の 『署名アルゴリズムの制約』 セクションを参照してください。
      署名アルゴリズム(EC)は key_type (ecc)と一致する必要があります。
      key_size に許可されている選択肢は次のとおりです。
      • nistp256
      • nistp384
      • nistp521
      key_type に対して許可される選択肢は eccです。
    7. ブートストラップ admin ユーザーのクライアントディレクトリーを設定します。 
      pki_client_dir=bootstrap_admin_directory
      Copy to Clipboard Toggle word wrap
      デフォルトでは、パスは ~/.dogtag/instance_name/に設定されます。
      重要
      pki_admin_* パラメーターおよび pki_client_* パラメーターは、インストールプロセスによって自動的に作成されるブートストラップユーザーに属します。デフォルトのロール (権限) とブートストラップユーザーの詳細については、次を参照してください。「ユーザー、認可、およびアクセス制御」
      このセクションで説明するパラメーターの説明は、pki_default.cfg(5) の man ページを参照してください。
    8. ブートストラップ admin ユーザーのさまざまなパスワードを設定します。 
      pki_admin_password=password
pki_client_database_password=password
pki_client_pkcs12_password=password
      Copy to Clipboard Toggle word wrap
    9. 同じホストで実行されている Directory Server への LDAPS 接続のパラメーターを設定します。 
      pki_ds_database=back-end database name
pki_ds_hostname=hostname
pki_ds_secure_connection=True
pki_ds_secure_connection_ca_pem_file=path_to_CA_or_self-signed_certificate
pki_ds_password=password
      Copy to Clipboard Toggle word wrap
    10. Directory Server で自己署名証明書を使用する場合は、以下のコマンドを使用して Directory Server の Network Security Services (NSS) データベースからエクスポートします。 
      # certutil -L -d /etc/dirsrv/slapd-instance_name/ \
     -n "server-cert" -a -o /root/ds.crt
      Copy to Clipboard Toggle word wrap
  • [Tomcat] セクション:
    1. Tomcat JServ Protocol (AJP) ポートを設定します。 
      pki_ajp_port=Tomcat_AJP_port
      Copy to Clipboard Toggle word wrap
    2. Tomcat サーバーポートを設定します。 
      pki_tomcat_server_port=Tomcat_server_port
      Copy to Clipboard Toggle word wrap
    重要
    同じホストで複数の PKI サブシステムインスタンスを実行するには、ホスト上の他のサービスで使用されていない pki_ajp_port パラメーターおよび pki_tomcat_server_port パラメーターにポートを設定する必要があります。デフォルトでは、pki_ajp_port8009 に、pki_tomcat_server_port8005 に設定されています。
非 TMS の場合、初期設定ファイルを作成したら、サブシステム固有の設定を追加します。参照:
TMS の場合、pkispawn シングルステップインストール用の設定ファイルの作成を続行するには、「pkispawn シングルステップインストール用の設定ファイルの作成」 を参照してください。

CA 設定

「サブシステムに依存しない設定」 に加えて、CA をインストールするために [CA] セクションに以下の設定が必要です。
  1. 次の設定を追加して、ランダムなシリアル番号を有効にします。 
    pki_random_serial_numbers_enable=true
    Copy to Clipboard Toggle word wrap
  2. 次のパラメーターを設定して、インストール中に自動的に作成されるブートストラップ admin ユーザーのデータを指定します。 
    pki_admin_nickname=bootstrap_CA_admin
pki_admin_name=bootstrap_CA_administrator_name
pki_admin_uid=caadmin
pki_admin_email=caadmin@example.com
    Copy to Clipboard Toggle word wrap
    Certificate System は、このブートストラップアカウントに管理者とエージェントの権限を割り当てます。インストール後にこのアカウントを使用して、実際の管理者、エージェント、および監査者のアカウントを作成します。
  3. サブシステム依存の証明書の HSM トークンを指定します。 
    pki_ca_signing_token=HSM_token_name
pki_ocsp_signing_token=HSM_token_name
    Copy to Clipboard Toggle word wrap
  4. RSA ベースの CA を構築する場合は、次の設定を使用します。 
    pki_ca_signing_key_algorithm=SHA256withRSA
pki_ca_signing_key_size=4096
pki_ca_signing_key_type=rsa
pki_ca_signing_signing_algorithm=SHA256withRSA
pki_ocsp_signing_key_algorithm=SHA256withRSA
pki_ocsp_signing_key_size=4096
pki_ocsp_signing_key_type=rsa
pki_ocsp_signing_signing_algorithm=SHA256withRSA
    Copy to Clipboard Toggle word wrap
    key_algorithm パラメーターの選択肢は次のとおりです。
    • SHA256withRSA
    • SHA384withRSA
    • SHA384withRSA
    注記
    このパラメーターは、CA の CS.cfg ファイルの ca.profiles.defaultSigningAlgsAllowed パラメーターで指定された各値に設定できます。詳細は、『Red Hat Certificate System 管理ガイド (Common Criteria Edition)』 の 『署名アルゴリズムの制約』 セクションを参照してください。
    署名アルゴリズム(RSA)は key_type (rsa)と一致する必要があります。
    key_size パラメーターの選択肢は次のとおりです。
    • 2048
    • 4096
    key_type パラメーターで許可される選択肢は rsa のみです。
  5. デフォルトでは、システム証明書のキータイプは rsa で、キーの長さは 2048 ビットです。証明書の作成時に RSA の代わりに楕円曲線暗号 (ECC) を使用するには、次のように設定します。 
    pki_ocsp_signing_key_algorithm=SHA256withEC
pki_ocsp_signing_key_size=nisp256
pki_ocsp_signing_key_type=ecc
pki_ocsp_signing_signing_algorithm=SHA256withEC
    Copy to Clipboard Toggle word wrap
    key_algorithm パラメーターの選択肢は次のとおりです。
    • SHA256withEC
    • SHA384withEC
    • SHA512withEC
    注記
    このパラメーターは、CA の CS.cfg ファイルの ca.profiles.defaultSigningAlgsAllowed パラメーターで指定された各値に設定できます。詳細は、『Red Hat Certificate System 管理ガイド (Common Criteria Edition)』 の 『署名アルゴリズムの制約』 セクションを参照してください。
    署名アルゴリズム(EC)は key_type (ecc)と一致する必要があります。
    key_size パラメーターの選択肢は次のとおりです。
    • nistp256
    • nistp384
    • nistp521
    key_type パラメーターで許可される選択肢は ecc です。

他のサブシステムの設定

「サブシステムに依存しない設定」 に加えて、下位 CA、KRA、または OCSP をインストールするために、 [CA]、KRA、または OCSP セクションに以下の設定が必要です。
  1. ルート CA ではないサブシステムは、外部 CA と呼ばれることもある 2 ステップインストールメカニズムを使用します。最初のステップとして、それぞれのサブシステム固有のセクションの下に次のパラメーターを追加します。 
    pki_external=True
pki_external_step_two=False
    Copy to Clipboard Toggle word wrap
  2. この手順は、インストールするサブシステムによって異なります。
    Subordinate CA
    [CA] セクションに以下の設定を追加します。
    1. ルート CA の CA セクションからすべての設定を追加します。
    2. システム証明書署名要求 (CSR) の出力パスを設定します。 
      pki_ca_signing_csr_path=path
pki_ocsp_signing_csr_path=path
pki_audit_signing_csr_path=path
pki_sslserver_csr_path=path
pki_subsystem_csr_path=path
pki_admin_csr_path=path
      Copy to Clipboard Toggle word wrap
    OCSP
    OCSP セクションで次のように設定し ます。
    1. 次のパラメーターを指定して、インストール中に自動的に作成されるブートストラップ OCSP 管理 ユーザーのデータを設定します。 
      pki_admin_nickname=bootstrap_OCSP_admin
pki_admin_name=bootstrap_OCSP_administrator_name
pki_admin_uid=ocspadmin
pki_admin_email=ocspadmin@example.com
      Copy to Clipboard Toggle word wrap
      Certificate System は、このブートストラップアカウントに管理者とエージェントの権限を割り当てます。インストール後にこのアカウントを使用して、実際の管理者、エージェント、および監査者のアカウントを作成します。
    2. サブシステム依存の証明書の HSM トークンを指定します。 
      pki_ocsp_signing_token=HSM_token_name
      Copy to Clipboard Toggle word wrap
    3. RSA Certificate System インスタンスを構築する場合は、次の設定を使用します。 
      pki_ocsp_signing_key_algorithm=SHA256withRSA
pki_ocsp_signing_key_size=4096
pki_ocsp_signing_key_type=rsa
pki_ocsp_signing_signing_algorithm=SHA256withRSA
      Copy to Clipboard Toggle word wrap
      key_algorithm パラメーターの選択肢は次のとおりです。
      • SHA256withRSA
      • SHA384withRSA
      • SHA384withRSA
      注記
      このパラメーターは、CA の CS.cfg ファイルの ca.profiles.defaultSigningAlgsAllowed パラメーターで指定された各値に設定できます。詳細は、『Red Hat Certificate System 管理ガイド (Common Criteria Edition)』 の 『署名アルゴリズムの制約』 セクションを参照してください。
      署名アルゴリズム(RSA)は key_type (rsa)と一致する必要があります。
      key_size パラメーターの選択肢は次のとおりです。
      • 2048
      • 4096
      key_type パラメーターで許可される選択肢は rsa のみです。
      注記
      CA インスタンスタイプ (RSA または ECC) を OCSP レスポンダータイプ (RSA または ECC) と一致させることをお勧めします。
    4. 証明書の作成時に RSA の代わりに楕円曲線暗号 (ECC) を使用するには、次のように設定します。 
      pki_ocsp_signing_key_algorithm=SHA256withEC
pki_ocsp_signing_key_size=nisp256
pki_ocsp_signing_key_type=ecc
pki_ocsp_signing_signing_algorithm=SHA256withEC
      Copy to Clipboard Toggle word wrap
      key_algorithm パラメーターの選択肢は次のとおりです。
      • SHA256withEC
      • SHA384withEC
      • SHA512withEC
      注記
      このパラメーターは、CA の CS.cfg ファイルの ca.profiles.defaultSigningAlgsAllowed パラメーターで指定された各値に設定できます。詳細は、『Red Hat Certificate System 管理ガイド (Common Criteria Edition)』 の 『署名アルゴリズムの制約』 セクションを参照してください。
      署名アルゴリズム(EC)は key_type (ecc)と一致する必要があります。
      key_size パラメーターの選択肢は次のとおりです。
      • nistp256
      • nistp384
      • nistp521
      key_type パラメーターで許可される選択肢は ecc のみです。
      注記
      CA インスタンスタイプ (RSA または ECC) を OCSP レスポンダータイプ (RSA または ECC) と一致させることをお勧めします。
    5. システム証明書署名リクエスト (CSR) の出力パスを設定します。 
      pki_ocsp_signing_csr_path=path
pki_audit_signing_csr_path=path
pki_sslserver_csr_path=path
pki_subsystem_csr_path=path
pki_admin_csr_path=path
      Copy to Clipboard Toggle word wrap
    KRA
    KRA セクションで以下を設定し ます。
    1. 次のパラメーターを指定して、インストール中に自動的に作成されるブートストラップ KRA 管理 ユーザーのデータを設定します。 
      pki_admin_nickname=bootstrap_KRA_admin
pki_admin_name=bootstrap_KRA_administrator_name
pki_admin_uid=kraadmin
pki_admin_email=kraadmin@example.com
      Copy to Clipboard Toggle word wrap
      Certificate System は、このブートストラップアカウントに管理者とエージェントの権限を割り当てます。インストール後にこのアカウントを使用して、実際の管理者、エージェント、および監査者のアカウントを作成します。
    2. サブシステム依存の証明書の HSM トークンを指定します。 
      pki_transport_token=HSM_token_name
pki_storage_token=HSM_token_name
      Copy to Clipboard Toggle word wrap
    3. RSA は、KRA ストレージ証明書とトランスポート証明書の両方でサポートされている唯一のキータイプです。デフォルトでは、キーの長さは 2048 ビットです。代わりに 4096 ビットキーを選択するには、以下のパラメーターを追加します。 
      pki_transport_key_size=4096
pki_storage_key_size=4096
      Copy to Clipboard Toggle word wrap
    4. システム証明書署名リクエスト (CSR) の出力パスを設定します。 
      pki_kra_signing_csr_path=path
pki_audit_signing_csr_path=path
pki_sslserver_csr_path=path
pki_subsystem_csr_path=path
pki_admin_csr_path=path
      Copy to Clipboard Toggle word wrap

7.3.2.2. pkispawn ステップ 1 インストールの開始
リンクのコピー

「インストールの最初ステップ用の設定ファイルの作成」の説明に従って設定ファイルを準備したら、インストールの最初のステップを開始します。
  • ルート CA の場合: 
    # pkispawn -f /root/pki/config.root-CA.txt -s CA
    Copy to Clipboard Toggle word wrap
  • 下位 CA またはその他の非 CA サブシステムの場合: 
    # pkispawn -f /root/pki/config.subsystem.txt -s subsystem
    Copy to Clipboard Toggle word wrap
    サブシステムを次のいずれかの サブシステム に置き換えます: CAKRA、または OCSP。たとえば、KRA インストールの場合: 
    # pkispawn -f /root/pki/config.KRA.txt -s KRA
    Copy to Clipboard Toggle word wrap

7.3.2.3. 2 つの pkispawn インストール手順間の設定
リンクのコピー

pkispawn ステップ 1 インストールの開始」 で説明されているインストール手順が修了したら、pkispawn ステップ 2 インストールの開始」 が実行され、実際の設定を開始する前にインスタンス固有の設定ファイルを手動で更新できます。
必要な手順については、pkispawn 手順の手順 1 を完了した後に、本セクションで説明されているアクションを実行します。
オプションの手順については、パートIII「Certificate System の設定」 を参照してください。有用なインストール手順には、次のものがあります。
7.3.2.3.1. 署名監査ログの有効化
リンクのコピー
署名された監査ロギング機能により、不正なログ操作を防止できます。
詳細は、「署名監査ログの有効化および設定」を参照してください。
7.3.2.3.2. KRA の暗号化モードへの設定
リンクのコピー
安全なキー抽出をサポートしていないハードウェアセキュリティーモジュール (HSM) を使用している場合は、キー回復機関 (KRA) を暗号化モードに設定する必要があります。詳細は、「KRA で AES 暗号化を使用する場合の HSM の制約の解決」 を参照してください。
7.3.2.3.3. OCSP の有効化
リンクのコピー
OCSP (Online Certificate Status Protocol) を有効にする方法は、「サブシステムの証明書失効チェックの有効化」を参照してください。

7.3.2.4. pkispawn ステップ 2 インストールの開始
リンクのコピー

「2 つの pkispawn インストール手順間の設定」 を完了したら、pkispawn インストールの 2 番目のステップを開始します。
  • Root CA: 
    # pkispawn -f /root/pki/config.root-CA.txt -s CA --skip-installation
    Copy to Clipboard Toggle word wrap
    設定手順に成功すると、pkispawn ユーティリティーにインストールの概要が表示されます。以下に例を示します。 
    ================================================================
                       INSTALLATION SUMMARY
================================================================

  Administrator's username:             caadmin
  Administrator's PKCS #12 file:
        /root/.dogtag/instance_name/ca_admin_cert.p12

  To check the status of the subsystem:
        systemctl status pki-tomcatd@instance_name.service

  To restart the subsystem:
        systemctl restart pki-tomcatd@instance_name.service

  The URL for the subsystem is:
        https://server.example.com:8443/ca/

  PKI instances will be enabled upon system boot

================================================================
    Copy to Clipboard Toggle word wrap
  • 下位 CA またはその他の非 CA サブシステム:
    1. CSR を CA に送信して、証明書を発行します。
      非ルート CA サブシステムとルート CA のインストールの主な違いの 1 つは、pkispawn ユーティリティーのステップ 2 を実行する前に、他のサブシステムがシステム証明書署名要求(CSR)を CA に送信する必要があることです。
      「他のサブシステムの設定」 の最初のステップで、インストールするサブシステムの pkispawn 設定ファイルに *_csr_path パラメーターを追加しました。pkispawn の最初のステップに成功すると、Certificate System は CSR を生成し、指定されたパスに保存します。これらの証明書リクエストは PKCS#10 形式であり、CA に送信する前に、Certificate Management over CMS (CMC) 形式に変換する必要があります。4.2 で指定された指示に従ってください。Red Hat Certificate System 管理ガイドの証明書署名リクエストの作成。pkispawn コマンドの 2 番目のステップを実行するときに、作成されるシステム証明書が必要です。
      さらに、PKCS#7 形式の発行元 CA の証明書チェーンが必要です。取得するには:
      1. 発行 CA の EE URL にアクセスします。
      2. Retrieval Import CA Certificate Chain に移動し、Display the CA certificate chain in PKCS#7 をクリックしてサーバーにインポートし ます。
      3. 送信 をクリックします。
      4. 表示された PKCS#7- 形式の出力を、Certificate System ホストの /root/pki/cert_chain.p7b などのテキストファイルにコピーします。
    2. pkispawn コマンドの 2 番目のステップの設定ファイルを作成します。
      1. 最初の手順から pkispawn 設定ファイルをコピーし、新しく作成されたファイルを pkispawn コマンドのステップ 2 用に編集します。
        1. DEFAULT セクションで、前の手順で準備した発行元の CA の証明書チェーンファイルへのパスと、CA 署名証明書のニックネームを設定します。以下に例を示します。 
          [DEFAULT]
pki_ca_signing_nickname=CA Signing Certificate
pki_ca_signing_cert_path=/root/pki/cert_chain.p7b
          Copy to Clipboard Toggle word wrap
        2. インストールするサブシステムに応じて、サブシステム固有のセクション(CAKRA、または OCSP)に次の設定を追加します。
          Subordinate CA
          pki_ca_signing_crt_path=/root/pki/subsystem/ocsp_signing.crt
pki_subsystem_crt_path=/root/pki/subsystem/subsystem.crt
pki_sslserver_crt_path=/root/pki/subsystem/sslserver.crt
pki_audit_signing_crt_path=/root/pki/subsystem/ca_audit_signing.crt
pki_admin_crt_path=/root/pki/subsystem/ca_admin.crt
pki_external_step_two=True
          Copy to Clipboard Toggle word wrap
          OCSP
          pki_ocsp_signing_crt_path=/root/pki/subsystem/ocsp_signing.crt
pki_subsystem_crt_path=/root/pki/subsystem/subsystem.crt
pki_sslserver_crt_path=/root/pki/subsystem/sslserver.crt
pki_audit_signing_crt_path=/root/pki/subsystem/ocsp_audit_signing.crt
pki_admin_crt_path=/root/pki/subsystem/ocsp_admin.crt
pki_external_step_two=True
          Copy to Clipboard Toggle word wrap
          KRA
          pki_storage_crt_path=/root/pki/subsystem/kra_storage.crt
pki_transport_crt_path=/root/pki/subsystem/kra_transport.crt
pki_subsystem_crt_path=/root/pki/subsystem/subsystem.crt
pki_sslserver_crt_path=/root/pki/subsystem/sslserver.crt
pki_audit_signing_crt_path=/root/pki/subsystem/kra_audit_signing.crt
pki_admin_crt_path=/root/pki/subsystem/kra_admin.crt
pki_external_step_two=True
          Copy to Clipboard Toggle word wrap
    3. pkispawn コマンドを実行します。 
      # pkispawn -f /root/pki/config.subsystem.txt -s subsystem
      Copy to Clipboard Toggle word wrap
      サブシステムを次のいずれかの サブシステム に置き換えます: CAKRA、または OCSP。たとえば、KRA インストールの場合: 
      # pkispawn -f /root/pki/config.KRA.txt -s KRA
      Copy to Clipboard Toggle word wrap

7.3.3. pkispawn を使用した単一ステップのインストール(TMS のみ)
リンクのコピー

TPS および TKS サブシステムは、pkispawn シングルステップインストールプロセスを使用してインストール できます。
pkispawn には設定ファイルが必要です。

7.3.3.1. pkispawn シングルステップインストール用の設定ファイルの作成
リンクのコピー

「サブシステムに依存しない設定」 に従って、pkispawn 設定ファイルのサブシステムに依存しない部分を入力します。
さらに、DEFAULT セクションの下 に以下を追加します。 
pki_security_domain_hostname=example.redhat.com
pki_security_domain_https_port=8443
pki_security_domain_user=caadmin
pki_security_domain_password=[SD password]
Copy to Clipboard Toggle word wrap
次に、サブシステム固有のセクション (TKS または TPS) を次のように追加します。
TKS
TKS セクションで以下を設定し ます。
  • 次のパラメーターを指定して、インストール中に自動的に作成されるブートストラップ TKS 管理者ユーザーのデータを設定します。 
    pki_admin_nickname=bootstrap_TKS_admin
pki_admin_name=bootstrap_TKS_administrator_name
pki_admin_uid=tksadmin
pki_admin_email=tksadmin@example.com
    Copy to Clipboard Toggle word wrap
    Red Hat Certificate System は、このブートストラップアカウントに管理者とエージェントの権限を割り当てます。インストール後にこのアカウントを使用して、管理者および監査者のアカウントを作成します。
TPS
TPS セクションで次のように設定し ます。
  1. 次のパラメーターを指定して、インストール中に自動的に作成されるブートストラップ TPS 管理ユーザーのデータを設定します。 
    pki_admin_nickname=bootstrap_TPS_admin
pki_admin_name=bootstrap_TPS_administrator_name
pki_admin_uid=tpsadmin
pki_admin_email=tpsadmin@example.com
    Copy to Clipboard Toggle word wrap
    Red Hat Certificate System は、このブートストラップアカウントに管理者とエージェントの権限を割り当てます。インストール後にこのアカウントを使用して、管理者アカウントと監査者アカウントを作成します。
  2. TPS 認証データベースの LDAP ベース DN を設定します。 
    pki_authdb_basedn=base_DN_of_the_TPS_authentication_database
    Copy to Clipboard Toggle word wrap
  3. サーバー側の鍵の生成とアーカイブを有効にします。 
    pki_enable_server_side_keygen=True
    Copy to Clipboard Toggle word wrap

7.3.3.2. シングルステップインストールでの pkispawn の実行
リンクのコピー

pkispawn コマンドを実行します。
# pkispawn -f /root/pki/config.TKS.txt -s TKS
または
# pkispawn -f /root/pki/config.TPS.txt -s TPS

7.3.3.3. シングルステップインストールのインストール後
リンクのコピー

以下の手順を実施します。
上記の手順を完了したら、インストール後の操作について 「インストール後のタスク」 に従ってください。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hat