Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第3章 共有システム証明書の使用

RHEL では、TLS 証明書の管理には集中型システムトラストストアを使用してください。共有された信頼できる保管場所を使用することで、システム全体の証明書の管理と検証が簡素化されます。

3.1. システム全体のトラストストア
リンクのコピー

RHEL には、TLS 証明書を一元管理するためのシステムが組み込まれています。この共有の証明書ストレージは、NSS、GnuTLS、OpenSSL、Java がシステム証明書のアンカーやブロックリスト情報を取得するために使用する統一された情報源として機能します。

デフォルトでは、トラストストアには Mozilla の CA リストが含まれています。このリストには、ポジティブトラストとネガティブトラストの両方が含まれています。一元管理システムを使用して、中核となる Mozilla CA リストを更新できます。

統合されたシステム全体のトラストストアは、/etc/pki/ca-trust/ および /usr/share/pki/ca-trust-source/ ディレクトリーにあります。/usr/share/pki/ca-trust-source/ 内の信頼の設定よりも、/etc/pki/ca-trust/ 内の設定が優先されます。

システムは、証明書ファイルのインストール先であるサブディレクトリーに基づいて証明書ファイルを処理します。

  • トラストアンカーの所属先

    • /usr/share/pki/ca-trust-source/anchors/ または
    • /etc/pki/ca-trust/source/anchors/

  • 信頼されていない証明書の保存先

    • /usr/share/pki/ca-trust-source/blocklist/ または
    • /etc/pki/ca-trust/source/blocklist/

  • 拡張 BEGIN TRUSTED ファイル (OpenSSL 信頼証明書) 形式の証明書の配置先

    • /usr/share/pki/ca-trust-source/ または
    • /etc/pki/ca-trust/source/

新しい証明書をトラストストアに追加するには、証明書を含むファイルを、該当するディレクトリーにコピーし、update-ca-trust コマンドを使用して変更を適用します。または、trust anchor サブコマンドを使用します。

詳細は、システム上の update-ca-trust(8) および trust(1) man ページを参照してください。

注記

階層暗号化システムでは、トラストアンカーとは、他のパーティーが信頼できると想定する権威あるエンティティーです。X.509 アーキテクチャーでは、ルート証明書はトラストチェーンの元となるトラストアンカーです。チェーンの検証を有効にするには、信頼元がまずトラストアンカーにアクセスできる必要があります。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る