8.3. 主な更新および新機能
Red Hat Enterprise Linux 7.1 上の Red Hat Certificate System 9.0 には、オプションの
リポジトリーからのパッケージが必要です
Red Hat Certificate System 9.0 階層化製品を Red Hat Enterprise Linux 7.1 にデプロイする場合、Red Hat Enterprise Linux
Optional
リポジトリーにのみ存在するパッケージにアクセスする必要があります。必要なパッケージは次のとおりです。
resteasy-base-client >= 3.0.6-1 is needed by pki-base-10.2.4-2.el7.noarch resteasy-base-jackson-provider >= 3.0.6-1 is needed by pki-base-10.2.4-2.el7.noarch libsvrcore.so.0()(64bit) is needed by pki-tps-10.2.4-2.el7.x86_64 jss-javadoc >= 4.2.6-35 is needed by redhat-pki-10.2.4-1.el7.noarch nuxwdog-client-java >= 1.0.1-11 is needed by pki-server-10.2.4-2.el7.noarch
注記
Red Hat Enterprise Linux 7.2 以降、これらのパッケージは共通の依存関係に追加されるため、
オプションの
リポジトリーを使用する必要がなくなりました。
新しい pki
コマンドラインユーティリティー
Red Hat Certificate System 9 では、PKI サーバー上の PKI サービスにアクセスするためのインターフェイスを提供する新しい
pki
コマンドラインユーティリティーが導入されています。このユーティリティーの主な目的は次のとおりです。
- 一般的に使用される CA および KRA 機能を、エンドユーザーがコマンドラインから使用したり、単純なスクリプト作成や自動化の目的で使用できるようにします。
- コマンドラインから新しい REST API 操作を使用できるようにします。
pki
ユーティリティーの詳細については、pkiマニュアルページ。
簡素化されたインストールとデプロイメント
Red Hat Certificate System 9.0 には、インストールとデプロイメントを簡略化するためのいくつかの新機能が導入され、次の機能が提供されています。
- コマンドライン引数の代わりに INI のような設定ファイルを使用することで、サイレントインストールを簡素化します。
- インスタンスの作成と設定は 1 回の自動操作で実行できます
- 複数のサブシステムを単一の Tomcat インスタンスにデプロイできます。
インストールとデプロイメントの改善点の詳細については、pkispawnマニュアルページ。
テクノロジープレビュー: TPS のグローバルプラットフォーム 2.1.1
注記
この機能はテクノロジープレビューとして提供され、今後の製品機能への早期アクセスを提供し、サブスクリプション契約ではまだ完全にはサポートされていないことに注意してください。
Global Platform の最新バージョンは、Red Hat Certificate System 9 に付属する TPS のバージョンに含まれており、サポートされています。TPS は、新しいバージョンの Global Platform と最新の暗号化操作をサポートするカードをプロビジョニングできるようになりました。特に、セキュアチャネルプロトコル 02 (SCP02) のサポートを提供する
gp211
アプレットが導入されました。SCP02 は SafeNet Assured Technologies スマートカード 650 でテストされています。
REST Web サービス API
Red Hat Certificate System 9 は、証明書システムのさまざまな Web サービスにアクセスするための新しい REST API セットを提供します。また、他のアプリケーションとの統合を容易にする Java および Python クライアントライブラリーも提供します。
テクノロジープレビュー: 新しい Java ベースのトークン処理システム
注記
この機能はテクノロジープレビューとして提供され、今後の製品機能への早期アクセスを提供し、サブスクリプション契約ではまだ完全にはサポートされていないことに注意してください。
Red Hat Certificate System 9 は、Apache HTTPD ベースの TPS を Java Tomcat ベースの TPS に置き換えます。新しい Java ベースの TPS は、既存の C ベースの実装と同等の機能を維持し、ユーザーエクスペリエンスを向上させる新しいユーザーインターフェイスを提供します。
KRA の強化
以前は、キー回復機関 (KRA) は、CA の特定のプロファイルを使用して証明書を登録するときに、秘密 (非対称) 暗号化キーのみをアーカイブしていました。Red Hat Certificate System 9 では、KRA が拡張され、パスフレーズや対称キーなどの他のタイプのシークレットをアーカイブできるようになりました。これらのキーは、新しい KRA REST インターフェイスに直接接続するエージェントによってアーカイブおよび取得できます。
この機能により、KRA はあらゆる種類のシークレットを安全に監査できる保管庫として機能できます。実際、KRA は Red Hat Identity Management の Vault 機能の安全なバックエンドストアとして機能します。
さらに、TMS ワークフローのサーバー側のキー生成をサポートするために、非対称キーを生成およびアーカイブする KRA の機能が拡張され、対称キーの生成が可能になりました。この機能は、KRA REST インターフェイスにも公開されています。
KRA トランスポートキーローテーションのサポート
クローン化された Certificate System インスタンスを使用する大規模なエンタープライズ環境でトランスポートキーのローテーションを採用することは、移行のためにシャットダウンが必要となるため、現実的ではない可能性があります。Red Hat Certificate System 9 では、現在のトランスポートキーと新しいトランスポートキーを使用して CA/KRA サブシステムインスタンス間のシームレスな移行を可能にする KRA トランスポートキーローテーション機能が導入されています。この機能により、KRA トランスポートキーを定期的にローテーションして、移行中に古いトランスポートキーと新しいトランスポートキーの両方が動作できるようにすることで、セキュリティーを強化できます。個々のサブシステムインスタンスは順番に設定され、他のクローンはダウンタイムなしでサービスを継続します。
外部認証 LDAP サーバー
Red Hat Certificate System 9 では、登録時にディレクトリーベースの認証と連携して動作する外部認証メカニズムが導入されています。ディレクトリーベースの認証のいずれかを定義すると、ユーザーのグループ評価に関連する新しいパラメーターも定義できます。この機能は、認可による認証方法を強化し、必要に応じて、特定のプロファイルの登録を、外部認証/認可 LDAP サーバーで定義された特定のグループのユーザーに制限できるようにします。
インストール中のサーバー証明書への SAN の追加
以前は、管理者はシステム SSL 証明書に使用されるサブジェクト代替 (SAN) 拡張機能を制御できませんでした。このリリースでは、管理者が
pkispawn
設定で SAN 拡張を指定できるようにする新しい機能が追加されました。
共通基準による評価
Red Hat Certificate System 9 は、Common Criteria に関してまだ評価されていません。
PKI 設定が GUI ベースのインストールウィザードから削除されました
以前は、Certificate System は公開キー基盤 (PKI) 設定用の Web インターフェイスを提供していました。Firefox の GUI に関連する機能のサポートが不明瞭であるため、PKI 設定は Red Hat Certificate System 9.0 から削除されました。PKI インスタンスをインストールして設定するには、pkispawn ユーティリティーを使用します。