第64章 Identity Management での証明書プロファイルの作成および管理
証明書プロファイルは、証明書署名要求 (CSR) が受け入れ可能であるかどうかを判断するために、証明書の署名時に認証局 (CA) により使用されます。受け入れ可能な場合には、証明書にどのような機能および拡張機能が含まれるかを判断します。特定のタイプの証明書を発行するのに、証明書プロファイルを関連付けます。証明書プロファイルと CA アクセス制御リスト (ACL) を組み合わせることで、カスタム証明書プロファイルへのアクセスを定義し、制御できます。
証明書プロファイルの作成方法の説明では、例として S/MIME 証明書を使用します。一部のメールプログラムは、Secure Multipurpose Internet Mail Extension (S/MIME) プロトコルを使用して、デジタル署名および暗号化されたメールをサポートします。S/MIME を使用して電子メールメッセージの署名または暗号化を行うには、メッセージの送信者に S/MIME 証明書が必要です。
64.1. 証明書プロファイルの概要
証明書プロファイルを使用すると、証明書の内容や、以下のような証明書の発行時の制約を決定できます。
- 証明書署名要求をエンコードするために使用する署名アルゴリズム。
- 証明書のデフォルトの有効性。
- 証明書の取り消しに使用できる失効理由。
- プリンシパルのコモンネーム (cn) が subject alternative name フィールドにコピーされる場合。
- 証明書に存在する必要がある機能およびエクステンション。
特定のタイプの証明書を発行するのに、証明書プロファイルを 1 つ関連付けます。IdM のユーザー、サービス、およびホストには、さまざまな証明書プロファイルを定義できます。IdM には、デフォルトで次の証明書プロファイルが含まれています。
-
caIPAserviceCert -
IECUserRoles -
kdcs_PKINIT_Certs(内部で使用)
さらに、特定の目的で証明書を発行できるカスタムプロファイルを作成およびインポートできます。たとえば、特定のプロファイルの使用を 1 つのユーザーまたはグループに制限し、他のユーザーやグループがそのプロファイルを使用して証明書を認証用に発行できないようにさせます。カスタム証明書プロファイルを作成するには、ipa certprofile コマンドを使用します。
関連情報
-
ipa help certprofileコマンドを参照してください。
