第25章 IdM が内部で使用する証明書について
Red Hat Identity Management (IdM) サーバーは、統合認証局 (CA) を使用してインストールすることも、CA を使用せずにインストールすることもできます。IdM へのアクセスおよび管理に必要な証明書は、CA が統合されているかどうかによって異なる方法で管理されます。
-
統合 CA: 証明書は
certmonger
によって自動的に作成され、追跡されます。certmonger
は自動的に証明書を更新し、IdM サービスが引き続き有効であることを確認します。 - CA がない場合: 証明書はサードパーティーの認証局から要求されます。この場合は、有効期限を監視し、それらが更新されて、IdM サービスが引き続き有効であることを確認する必要があります。
25.1. IdM の内部証明書について
Red Hat Identity Management (IdM) は、LDAP サーバーと HTTP サーバーなど、ネットワークを使用してアクセスする多くのサービスを使用します。サーバー証明書を必要とする SSL/TLS ポートを使用して、これらのサービスにアクセスします。IdM サーバーのインストール時に、HTTP および LDAP サーバー証明書が必要です。
IdM のインストールおよび設定方法に応じて、複数の方法で証明書を取得できます。
自己署名または外部 CA が署名できる統合 CA の場合: IdM は、IdM が管理するユーザー、ホスト、およびサービスのすべての証明書を発行し、証明書ファイルを提供する必要はありません。
certmonger
は、証明書の有効期限を自動的に監視し、必要に応じて自動的に更新されます。外部署名 CA の場合: インストールは複数の手順で実行されます。
-
CSR を生成するには、
--external-ca
オプションを指定してインストールを実行する必要があります。 - CSR を外部 CA に送信し、発行した証明書および CA 証明書チェーンを PEM ファイルまたは Base64 でエンコードされた証明書として取得します。
新たに発行した CA 証明書および CA チェーンファイルの場所と名前を指定して、IdM サーバーインストールを再度実行します。IdM 認証局は外部 CA の subCA として設定されており、この subCA は必要な HTTP および LDAP サーバー証明書を発行します。
certmonger
は、証明書の有効期限を自動的に監視し、必要に応じて自動的に更新されます。
-
CSR を生成するには、
CA がない場合: サードパーティーの認証局から以下の証明書を要求する必要があります。
- LDAP サーバー証明書
- Apache サーバー証明書
- PKINIT 証明書
LDAP および Apache のサーバー証明書を発行した CA の完全な CA 証明書チェーン
これらの証明書は
certmonger
によって追跡されず、管理者には有効期限に達する前にそれらを更新する責任があります。
関連情報