第12章 certmonger を使った作業
マシンの認証管理には、マシン証明書の管理が含まれます。
certmonger
サービスは、アプリケーションの証明書のライフサイクルを管理し、適切に設定されている場合は、認証局(CA)と連携して証明書を更新できます。
certmonger
デーモンとそのコマンドラインクライアントを使うと、公開鍵と秘密鍵のペア生成や証明書リクエストの作成、CA に対する署名のリクエスト提出といった処理を簡素化することができます。certmonger
デーモンは、証明書の有効期限を監視し、有効期限が近づいている証明書を更新できます。certmonger
が監視する証明書はファイルで追跡しており、このファイルは設定可能なディレクトリー内に保存します。デフォルトの場所は /var/lib/certmonger/requests
です。
注記
certmonger
デーモンは証明書を取り消すことができません。証明書は、関連する認証局のみが取り消すことができます。この認証局は、証明書を無効にし、証明書失効リストを更新する必要があります。
12.1. certmonger および認証局
デフォルトでは、certmonger は、証明書が使用する認証局ソースで異なる 3 種類の証明書を自動的に取得できます。
- 自己署名証明書各証明書は証明書独自のキーを使用して署名されるため、自己署名証明書の生成には CA は全く関与しません。自己署名証明書を検証するソフトウェアは、証明書を検証するために、その証明書を直接信頼するように指示する必要があります。自己署名証明書を取得するには、selfsign-getcert コマンドを実行します。
- Red Hat Enterprise Linux IdM の一部として Dogtag Certificate System CA からの証明書IdM サーバーを使用して証明書を取得するには、ipa-getcert コマンドを実行します。
- システムに存在するローカル CA により署名された証明書ローカル署名者が署名した証明書を検証するソフトウェアは、証明書を検証するためにこのローカル署名から証明書を信頼するように指示する必要があります。ローカル署名の証明書を取得するには、local-getcert コマンドを実行します。
他の CA は certmonger を使用して証明書を管理することもできますが、特別な CA ヘルパー を作成して certmonger にサポートを追加する必要があり ます。CA ヘルパーの作成方法は、certmonger プロジェクトのドキュメント() https://pagure.io/certmonger/blob/master/f/doc/submit.txt を参照してください。