Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

7.3. HSM に保存された鍵と証明書を使用する外部 CA を備えた IdM サーバーのインストール

ハードウェアによるセキュリティーを確保しつつ、既存の PKI インフラストラクチャーと統合するために、HSM に保存された鍵を使用する外部認証局 (CA) を使用する Identity Management (IdM) サーバーをインストールします。

インストール中に、レルム、管理者のパスワード、Directory Manager のパスワードなど、システムの基本設定を指定する必要があります。

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

前提条件

  • サポート対象のネットワーク HSM がベンダーの指示に従ってインストールおよびセットアップされている。サポート対象の HSM を参照してください。
  • HSM PKCS #11 ライブラリーパス (/opt/nfast/toolkits/pkcs11/libcknfast.so)。
  • 利用可能なスロット、トークン、トークンのパスワード。

  • 統合 IdM CA を使用せずにサーバーをインストールする場合は、サードパーティーの認証局から次の証明書を要求する必要があります。

    • LDAP サーバー証明書
    • Apache サーバー証明書
    • PKINIT 証明書
    • LDAP および Apache のサーバー証明書を発行した CA の完全な CA 証明書チェーン

手順

  1. 必ず外部 CA を使用していることを指定して、インストールコマンドを実行します。 

    # ipa-server-install --external-ca

    インストールプロセス中に、ユーティリティーは証明書署名要求 (CSR) の場所 /root/ipa.csr を出力します。 

    ...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate

  2. インストールユーティリティーによって生成された CSR を使用して証明書プロセスを完了するには、次の手順を実行します。

    1. /root/ipa.csr にある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスにより異なります。

    2. 発行した証明書と、Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。

      重要

      CA 証明書だけでなく、CA の完全な証明書チェーンを取得します。

  3. ipa-server-install ユーティリティーを再度実行して、新しく発行された CA 証明書と CA チェーンファイルのパスと名前、PKCS #11 ライブラリーの場所、トークン名、およびトークンパスワードを指定します。 

    # ipa-server-install --external-cert-file=</tmp/servercert20170601.pem> --external-cert-file=</tmp/cacert.pem> -–token-name=<HSM-TOKEN> --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so
  4. プロンプトが表示されたらトークンのパスワードを指定します。
  5. インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。

検証

  1. certutil を実行して CA 証明書情報を表示します。 

    certutil -L -d /etc/pki/pki-tomcat/alias

Certificate Nickname                    Trust Attributes
                                        SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca               CT,C,C
ocspSigningCert cert-pki-ca             ,,
Server-Cert cert-pki-ca                 u,u,u
subsystemCert cert-pki-ca               ,,
auditSigningCert cert-pki-ca            ,,P

    証明書は表示されます。ただし ,, はトークンに保存されているため秘密鍵がないことを示します。

  2. 鍵と証明書が HSM に保存されていることを確認します。 

    certutil -L -d /etc/pki/pki-tomcat/alias - h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu

    証明書名の先頭には HSM トークン名がついています。これは、秘密鍵と証明書がトークンに保存されていることを示します。

    鍵の保存場所は、ユーザーが証明書を取得または使用する方法には影響しません。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る