第77章 certmonger を使用したサービスの IdM 証明書の取得
77.1. Certmonger の概要
Identity Management (IdM) が統合 IdM 認証局 (CA) とともにインストールされていると、certmonger
サービスを使用してシステムおよびサービス証明書を追跡し、更新します。証明書の期限が切れると、certmonger
は次の方法で更新プロセスを管理します。
- 元の要求で指定されているオプションを使用して、証明書署名要求 (CSR) を再生成します。
-
IdM API の
cert-request
コマンドを使用して、CSR を IdM CA に送信します。 - IdM CA から証明書を受け取ります。
- pre-save コマンドを実行します (元の要求で指定されている場合)。
-
更新要求で指定されている場所 (
NSS
データベースまたはファイル) に新しい証明書をインストールします。 -
post-save コマンドを実行します (元の要求で指定されている場合)。たとえば、post-save コマンドは、関連するサービスを再起動するように
certmonger
に指示し、サービスが新しい証明書が取得できるようにします。
certmonger
が追跡する証明書の種類
証明書は、システム証明書とサービス証明書に分けることができます。
さまざまなサーバーのさまざまなキーペアと発行名を持つサービス証明書 (HTTP
、LDAP
、PKINIT
など) とは異なり、IdM システム証明書とその鍵はすべての CA レプリカで共有されます。IdM システム証明書には、以下が含まれます。
-
IdM CA
認証 -
OCSP
署名証明書 -
IdM CA サブシステム
証明書 -
IdM CA 監査署名
証明書 -
IdM 更新エージェント
(RA) 証明書 -
KRA
トランスポート証明書およびストレージ証明書
certmonger
サービスは、統合 CA を使用した IdM 環境のインストール時に要求された IdM システム証明書およびサービス証明書を追跡します。certmonger
は、IdM ホストで実行しているその他のサービスに対して、システム管理者が手動で要求した証明書を追跡します。Certmonger
では、外部 CA 証明書またはユーザー証明書は追跡されません。
Certmonger のコンポーネント
certmonger
サービスは、2 つの主要コンポーネントで設定されています。
-
certmonger デーモン
- 証明書のリストを追跡し、更新コマンドを実行するエンジンです。 -
コマンドラインインターフェイス
(CLI) のgetcert
ユーティリティー。これにより、システム管理者はcertmonger
デーモンにアクティブにコマンドを送信できます。
具体的には、システム管理者は、getcert
ユーティリティーを使用して以下のことができます。