検索
サポートコンソール開発者トライアルの開始お問い合わせ

25.2. IdM の内部の証明書

download PDF

内部証明書は、IdM のインストール方法と、そのインストールに含まれるコンポーネントによって異なります。インストールによっては、以下の証明書がシステムに保存されている可能性があります。

IdM CA 認証

IdM CA 証明書は、その他のすべての証明書に署名するために IdM によって使用されます。CA なしのインストールには存在しないことに注意してください。

caSigningCert説明

ファイルシステムの場所

  • /etc/pki/pki-tomcat/alias NSS データベースの nickname=caSigningCert cert-pki-ca
  • /etc/ipa/nssdb/ および /etc/ipa/ca.crtnickname=REALM.NAME IPA CA (LDAP から入力)

LDAP の場所

cn=REALM.NAME IPA CA,cn=certificates,cn=ipa,cn=etc,dc=realm,dc=name and ou=authorities,ou=ca,o=ipaca

Issuer

自己署名または外部 CA により署名されている

Subject

O = REALM.NAME, CN = Certificate Authority

これはデフォルト値ですが、IdM サーバーのインストール時にカスタマイズできることに注意してください。

関連情報

CA:true 重大な制約が必要で、NSS データベースに CT,C,C 信頼フラグが必要です。

外部 CA 証明書

外部 CA を使用している場合は、IdM 証明書を検証するために IdM で外部 CA のチェーンが利用可能である必要があります。CA なしのインストールでは、HTTPD および LDAP 証明書を検証するために、LDAP や /etc/ipa/ca.crt ディレクトリーを含むさまざまな場所に、外部 CA 証明書が存在する必要があります。

注記

インストール時に自動的に行われるため、外部 CA 証明書を必要なすべての場所に手動で追加する必要はありません。ただし、外部 CA 証明書が後で更新された場合は、Renewing the IdM CA renewal server certificate using an external CA の手順に従って、新しい証明書が必要なすべての場所に追加されるようにします。

外部証明書説明

ファイルシステムの場所

/etc/pki/pki-tomcat/alias nssdb および /etc/ipa/ca.crt のチェーンの一部として(LDAP から入力)

LDAP の場所

cn=SUBJECT,cn=certificates,cn=ipa,cn=etc,dc=realm,dc=name and ou=authorities,ou=ca,o=ipaca

Issuer

外部 CA 署名

Subject

外部 CA サブジェクト

関連情報

チェーン内のすべての証明書は DER 形式でなければならず、LDAP にインポートする必要があります。NSS データベースに CT,C,C 信頼フラグが必要です。

サブシステム CA 証明書

この証明書は、LDAP データベースに書き込むときに LDAP サーバーへの認証に使用されます。この証明書は CA なしのインストールには存在しません。

subsystemCert説明

ファイルシステムの場所

nickname=subsystemCert cert-pki-ca in /etc/pki/pki-tomcat/alias nssdb

LDAP の場所

uid=pkidbuser,ou=people,o=ipaca

Issuer

IPA CA

Subject

CN=CA Subsystem,O=REALM.NAME

関連情報

LDAP のシリアルとブロブの不一致に注意してください。たとえば、2;SERIAL;CN=Certificate Authority,O=REALM.NAME;CN=CA Subsystem,O=REALM.NAME および userCertificate は、ファイルシステム上のものと一致する必要があります。

監査署名証明書

この証明書は、監査ログの署名に使用されます。CA なしのインストールには存在しないことに注意してください。

auditSigningCert説明

ファイルシステムの場所

nickname=auditSigningCert cert-pki-ca in /etc/pki/pki-tomcat/alias nssdb

LDAP の場所

専用の LDAP の場所はありません。ou=certificateRepository,ou=ca,o=ipaca で共有されます。

Issuer

IPA CA

Subject

CN=CA Audit,O=REALM.NAME

関連情報

NSS データベースに ,,P 信頼フラグが必要です。

OCSP 署名証明書

この証明書は、Online Certificate Status Protocol (OCSP) サービスを提供するために使用されます。CA なしのインストールには存在しないことに注意してください。

ocspSigningCert説明

ファイルシステムの場所

/etc/pki/pki-tomcat/alias nssdbnickname=ocspSigningCert cert-pki-ca

LDAP の場所

専用の LDAP の場所はありません。ou=certificateRepository,ou=ca,o=ipaca で共有されます。

Issuer

IPA CA

Subject

CN=OCSP Subsystem,O=REALM.NAME

関連情報

 

Tomcat サーブレット証明書

この証明書は、クライアントが PKI に接続する場合に使用されます。このサーバー証明書はホストに固有であり、CA なしのインストールには存在しないことに注意してください。

Server-Cert説明

ファイルシステムの場所

  • Nickname=Server-Cert cert-pki-ca in /etc/pki/pki-tomcat/alias nssdb+

LDAP の場所

 

Issuer

IPA CA

Subject

CN=$HOSTNAME,O=REALM.NAME

関連情報

 

登録認証局の証明書

PKI に対して認証するために certmonger と IdM フレームワークによって使用される証明書。たとえば、ipa cert-show 1 を実行すると、HTTPD は PKI と通信し、この証明書で認証します。CA なしのインストールには存在しません。

RA エージェント説明

ファイルシステムの場所

/var/lib/ipa/ra-agent.pem (RHEL 7.4 より前は /etc/httpd/alias)

LDAP の場所

uid=ipara,ou=people,o=ipaca

Issuer

IPA CA

Subject

CN=IPA RA,O=REALM.NAME

関連情報

LDAP のシリアルとブロブの不一致に注意してください。たとえば、2;SERIAL;CN=Certificate Authority,O=REALM.NAME;CN=IPA RA,O=REALM.NAME および userCertificate は、ファイルシステム上のものと一致する必要があります。

HTTPD フロントエンド証明書

HTTPD フロントエンドが Web UI および API への接続を保護するために使用する証明書。存在している必要があります。

HTTPD説明

ファイルシステムの場所

/var/lib/ipa/certs/httpd.crt (RHEL 8 より前は /etc/httpd/alias)

LDAP の場所

 

Issuer

CA なしのインストールでの IPA CA または外部 CA

Subject

CN=$HOSTNAME,O=REALM.NAME

関連情報

プリンシパル名を otherName = 1.3.6.1.4.1.311.20.2.3;UTF8:HTTP/$HOSTNAME@REALM, DNS name = $HOSTNAME とする Certificate Subject Alt Name エクステンションが含まれている必要があります。

LDAP TLS および STARTTLS 証明書

LDAP TLS および STARTTLS 接続に使用される証明書。存在している必要があります。

LDAP説明

ファイルシステムの場所

/etc/dirsrv/slapd-DOMAIN NSS データベースの nickname=Server-Cert (dse.ldifnsSSLPersonalitySSL に一致する他のニックネームの可能性もあります)

LDAP の場所

 

Issuer

CA なしのインストールでの IPA CA または外部 CA

Subject

CN=$HOSTNAME,O=REALM.NAME

関連情報

プリンシパル名を otherName = 1.3.6.1.4.1.311.20.2.3;UTF8:ldap/$HOSTNAME@REALM, DNS name = $HOSTNAME として、Certificate Subject Alt Name エクステンションを含める必要があります

KDC 証明書

IdM KDC の PKINIT に使用される証明書。

KDC説明

ファイルシステムの場所

/var/kerberos/krb5kdc/kdc.crt

LDAP の場所

 

Issuer

CA なしのインストールでの IPA CA または外部 CA

Subject

CN=$HOSTNAME,O=REALM.NAME

関連情報

プリンシパル名が otherName = 1.3.6.1.4.1.311.20.2.3;UTF8:krbtgt/REALM@REALM, DNS name = $HOSTNAME の拡張キー使用 id-pkinit-KPkdc (1.3.6.1.5.2.3.5) が必要です。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.