検索

付録C RHEL 8 の暗号化キーの場所

download PDF

Federal Information Processing Standard (FIPS) モードで実行されているシステムをアップグレードした後は、暗号化キーの再生成などを行い、すべての暗号化キーの FIPS 準拠を確認する必要があります。よく知られた暗号化キーの場所を次の表に示します。リストは完全ではないことに注意してください。他の場所も確認してください。

表C.1 RHEL 8 の暗号化キーの場所
Applicationキーの場所注記

Apache mod_ssl

/etc/pki/tls/private/localhost.key

/etc/pki/tls/private/localhost.key が存在しない場合、/usr/lib/systemd/system/httpd-init.service サービスは /usr/libexec/httpd-ssl-gencerts ファイルを実行します。

Bind9 RNDC

/etc/rndc.key

named-setup-rndc.service サービスは、/etc/rndc.key ファイルを生成する /usr/libexec/generate-rndc-key.sh スクリプトを実行します。

Cyrus IMAPd

/etc/pki/cyrus-imapd/cyrus-imapd-key.pem

cyrus-imapd-init.service サービスは、起動時に /etc/pki/cyrus-imapd/cyrus-imapd-key.pem ファイルを生成します。

DNSSEC-Trigger

/etc/dnssec-trigger/dnssec_trigger_control.key

dnssec-triggerd-keygen.service サービスは、/etc/dnssec-trigger/dnssec_trigger_control.key ファイルを生成します。

Dovecot

/etc/pki/dovecot/private/dovecot.pem

dovecot-init.service サービスは、起動時に /etc/pki/dovecot/private/dovecot.pem ファイルを生成します。

OpenPegasus

/etc/pki/Pegasus/file.pem

tog-pegasus.service サービスは、/etc/pki/Pegasus/file.pem 秘密鍵ファイルを生成します。

OpenSSH

/etc/ssh/ssh_host*_key

Ed25519 および DSA キーは FIPS に準拠していません。

カスタム Diffie-Hellman (DH) パラメーターは、FIPS モードではサポートされていません。FIPS モードとの互換性を確保するために、sshd_config ファイルの ModuliFile オプションをコメントアウトしてください。moduli ファイル (デフォルトでは /etc/ssh/moduli) はそのままにしておくことができます。

postfix

/etc/pki/tls/private/postfix.key

postfix パッケージに含まれるインストール後のスクリプトは、/etc/pki/tls/private/postfix.key ファイルを生成します。

RHEL Web コンソール

/etc/cockpit/ws-certs.d/

Web コンソールは /usr/libexec/cockpit-certificate-ensure –for-cockpit-tls ファイルを実行し、/etc/cockpit/ws-certs.d/ ディレクトリーにキーを作成します。

Sendmail

/etc/pki/tls/private/sendmail.key

sendmail パッケージに含まれるインストール後のスクリプトは、/etc/pki/tls/private/sendmail.key ファイルを生成します。

サードパーティー製アプリケーションの暗号化キーが FIPS に準拠していることを確認するには、それぞれのアプリケーションの対応するドキュメントを参照してください。また、以下に注意してください。

  • ポートを開くサービスが、TLS 証明書を使用する場合があります。

    • すべてのサービスが暗号化キーを自動的に生成するわけではありませんが、自動的に起動する多くのサービスはデフォルトで自動生成します。
  • NSS、GnuTLS、OpenSSL、libgcrypt などの暗号化ライブラリーを使用するサービスにも注意してください。
  • バックアップ、ディスク暗号化、ファイル暗号化、および同様のアプリケーションも確認してください。
重要

RHEL 8 の FIPS モードは DSA キー、DH パラメーター、1024 ビットより短い RSA キー、およびその他のいくつかの暗号を制限するため、古い暗号化キーは RHEL 7 からのアップグレード後に機能しなくなります。詳細は、「RHEL 8 の導入における検討事項」ドキュメントの コア暗号化コンポーネントの変更点 セクションと、RHEL 8「セキュリティーの強化」ドキュメントの システム全体の暗号化ポリシーの使用 の章を参照してください。

関連情報

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.