第7章 IdM サーバーのインストール: 統合 DNS なしで外部 CA を root CA として使用する場合
この章では、統合 DNS なしで、外部認証局 (CA) をルート CA として使用する Identity Management (IdM) サーバーを新規インストールする方法を説明します。
Red Hat では、IdM デプロイメントにおける基本的な使用のために IdM 統合 DNS をインストールすることを強く推奨します。IdM サーバーが DNS も管理する場合には、DNS とネイティブの IdM ツールが密接に統合されるため、DNS レコード管理の一部が自動化できます。
詳細は、Planning your DNS services and host names を参照してください。
7.1. ルート CA として外部 CA と共に IdM CA をインストールする際に使用されるオプション
以下の条件のいずれかが該当する場合、ルート CA として外部 CA と共に Identity Management IdM 認証局 (CA) をインストールすることができます。
-
ipa-server-install
コマンドを使用して、新しい IdM サーバーまたはレプリカをインストールしようとしている。 -
ipa-ca-install
コマンドを使用して、CA コンポーネントを既存の IdM サーバーにインストールしようとしている。
ルート CA として外部 CA と共に IdM CA をインストールする際に証明書署名要求 (CSR) を作成するのに使用できる次の両方のコマンドオプションを使用可能です。
- --external-ca-type=TYPE
-
外部 CA のタイプ。設定可能な値は
generic
およびms-cs
です。デフォルト値はgeneric
です。生成される CSR に Microsoft Certificate Services (MS CS) で必要なテンプレート名を追加するには、ms-cs
を使用します。デフォルト以外のプロファイルを使用するには、--external-ca-type=ms-cs
と共に--external-ca-profile
オプションを使用します。 - --external-ca-profile=PROFILE_SPEC
IdM CA の証明書を発行する際に MS CS が適用する証明書プロファイルまたはテンプレートを指定します。
--external-ca-profile
オプションは、--external-ca-type
が ms-cs の場合にのみ使用できます。MS CS テンプレートは、以下のいずれかの方法で特定できます。
-
<oid>:<majorVersion>[:<minorVersion>]
:証明書テンプレートは、オブジェクト識別子 (OID) およびメジャーバージョンで指定できます。任意でマイナーバージョンを指定することもできます。 -
<name>
:証明書テンプレートは、名前で指定できます。名前には : 文字を含めることができず、OID を指定できません。そうでなければ、OID ベースのテンプレート指定子構文が優先されます。 -
default
:この指定子を使用する場合には、テンプレート名SubCA
が使用されます。
-
特定のシナリオでは、Active Directory (AD) 管理者は、AD CS に組み込まれているテンプレートである Subordinate 認証局
(SCA) テンプレートを使用して、組織のニーズにより適した一意のテンプレートを作成できます。たとえば、新しいテンプレートでは有効期間や拡張機能をカスタマイズできます。関連付けられたオブジェクト識別子 (OID) は、AD 証明書テンプレート
コンソールにあります。
AD 管理者が元の組み込みテンプレートを無効にしている場合は、IdM CA の証明書を要求する際に新しいテンプレートの OID または名前を指定する必要があります。AD 管理者に、新しいテンプレートの名前または OID を提供するよう依頼します。
元の SCA AD CS テンプレートがまだ有効にされている場合は、追加で --external-ca-profile
オプションを使用せずに --external-ca-type=ms-cs
を指定して使用できます。この場合、subCA
外部 CA プロファイルが使用されます。これは、SCA AD CS テンプレートに対応するデフォルトの IdM テンプレートです。