5.2. 証明書プロファイルの作成
S/MIME 証明書を要求するプロファイル設定ファイルを作成して、コマンドラインから証明書プロファイルを作成するには、次の手順に従います。
手順
既存のデフォルトプロファイルをコピーしてカスタムプロファイルを作成します。
$ ipa certprofile-show --out smime.cfg caIPAserviceCert ------------------------------------------------ Profile configuration stored in file 'smime.cfg' ------------------------------------------------ Profile ID: caIPAserviceCert Profile description: Standard profile for network services Store issued certificates: TRUE
テキストエディターで新たに作成されたプロファイル設定ファイルを開きます。
$ vi smime.cfg
プロファイル IDは、smimeなど、プロファイルの用途を反映する名前に変更します。注記新規作成されたプロファイルをインポートする場合は、
profileIdフィールドがある場合には、profiledId はコマンドラインで指定した ID と一致する必要があります。Extended Key Usage 設定を更新します。Extended Key Usage のデフォルト拡張設定は、TLS サーバーとクライアント認証向けです。たとえば、S/MIME の場合に、電子メール保護のために Extended Key Usage を設定する必要があります。
policyset.serverCertSet.7.default.params.exKeyUsageOIDs=1.3.6.1.5.5.7.3.4
新しいプロファイルをインポートします。
$ ipa certprofile-import smime --file smime.cfg \ --desc "S/MIME certificates" --store TRUE ------------------------ Imported profile "smime" ------------------------ Profile ID: smime Profile description: S/MIME certificates Store issued certificates: TRUE
検証
新しい証明書プロファイルがインポートされたことを確認します。
$ ipa certprofile-find ------------------ 4 profiles matched ------------------ Profile ID: caIPAserviceCert Profile description: Standard profile for network services Store issued certificates: TRUE Profile ID: IECUserRoles Profile description: User profile that includes IECUserRoles extension from request Store issued certificates: TRUE Profile ID: KDCs_PKINIT_Certs Profile description: Profile for PKINIT support by KDCs Store issued certificates: TRUE Profile ID: smime Profile description: S/MIME certificates Store issued certificates: TRUE ---------------------------- Number of entries returned 4 ----------------------------
関連情報
-
ipa help certprofileを参照してください。 - RFC 5280, section 4.2.1.12 を参照してください。
