第21章 関連する証明書の特定グループの迅速な無効化
システム管理者は任意で、関連する証明書の特定のグループをすばやく無効にできます。
- 特定の軽量の Identity Management (IdM) サブ CA が発行した証明書のみを信頼するようにアプリケーションを設計します。その後、これらの証明書を発行した Identity Management (IdM) サブ CA の証明書を取り消すだけで、この証明書をすべて無効にできます。IdM で軽量のサブ CA を作成して使用する方法の詳細は、関連する証明書の特定グループの迅速な無効化 を参照してください。
失効予定の IdM サブ CA が発行した全証明書がすぐに無効となっていることを確認するには、このような証明書に依存するアプリケーションが IdM OCSP レスポンダーを使用するように設定します。たとえば、Firefox ブラウザーが OCSP レスポンダーを使用するように設定するには、Firefox の設定で
Query OCSP responder servers to confirm the current validity of certificates
チェックボックスが選択されているようにします。IdM では、証明書失効リスト (CRL) が 4 時間ごとに更新されます。IdM サブ CA によって発行されたすべての証明書を無効にするには、IdM サブ CA 証明書を失効 させます。さらに、関連する CA ACL を無効 にして、IdM サブ CA の無効化 の検討も行ってください。サブ CA を無効にするとサブ CA が新しい証明書を発行できなくなりますが、サブ CA の署名キーが保持されるため、以前に発行した証明書に、オンライン証明書ステータスプロトコル (OCSP) の応答を生成することができます。
お使いの環境で OCSP を使用する場合は、サブ CA を削除しないでください。サブ CA を削除するとサブ CA の署名キーが削除されるため、そのサブ CA が発行する証明書の OCSP 応答を生成できなくなります。
サブ CA の無効化が唯一推奨されるのは、署名キーを新しくしつつも、同じサブジェクト識別名 (DN) を使用して、サブ CA を新規作成するシナリオの場合のみです。
21.1. IdM CLI での CA ACL の無効化
IdM サービスまたは IdM サービスのグループを終了する場合は、対応する既存の CA ACL を無効にすることを検討してください。
Web サーバーが IdM クライアントで実行中の場合には IdM サブ CA (webserver-ca
) 発行の証明書を要求するように制限する TLS_web_server_authentication CA ACL と、IdM ユーザーの場合には IdM サブ CA (webclient-ca
) 発行のユーザー証明書を要求するように制限する TLS_web_client_authentication CA ACL を無効にするには、次の手順に従います。
手順
必要に応じて、IdM 環境内の CA ACL をすべて表示するには、
ipa caacl-find
コマンドを入力します。$ ipa caacl-find ----------------- 3 CA ACLs matched ----------------- ACL name: hosts_services_caIPAserviceCert Enabled: TRUE ACL name: TLS_web_server_authentication Enabled: TRUE ACL name: TLS_web_client_authentication Enabled: TRUE
必要に応じて、CA ACL の詳細を表示するには、
ipa caacl-show
コマンドを入力して、CA ACL 名を指定します。$ ipa caacl-show TLS_web_server_authentication ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca Profiles: caIPAserviceCert Services: HTTP/rhel8server.idm.example.com@IDM.EXAMPLE.COM
CA ACL を無効にするには、
ipa caacl-disable
コマンドを入力して、CA ACL 名を指定します。TLS_web_server_authentication CA ACL を無効にするには、以下を入力します。
$ ipa caacl-disable TLS_web_server_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_server_authentication" -------------------------------------------------
TLS_web_client_authentication CA ACL を無効にするには、以下を入力します。
$ ipa caacl-disable TLS_web_client_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_client_authentication" -------------------------------------------------
有効な CA ACL は hosts_services_caIPAserviceCert CA ACL のみです。
重要CA ACL
hosts_services_caIPAserviceCert
を無効にする場合には、細心の注意を払ってください。プロファイルがcaIPAserviceCert
のipa
CA を IdM サーバーで使用できるように指定する別の CA ACL を用意せずにhosts_services_caIPAserviceCert
を無効にすると、IdM のHTTP
とLDAP
証明書の更新に失敗します。IdMHTTP
証明書およびLDAP
証明書の期限が切れると、最終的には IdM システムに問題が発生します。