19.5. 証明書追跡の開始および停止
以下の手順に従って、getcert stop-tracking
コマンドおよび getcert start-tracking
コマンドを使用して証明書を監視します。この 2 つのコマンドは、certmonger
サービスで利用できます。証明書追跡を有効にすると、Identity Management (IdM) 認証局 (CA) が発行する証明書を、別の IdM クライアントのマシンにインポートすると特に便利です。証明書の追跡を有効にすることは、次のプロビジョニングシナリオの最終ステップでもあります。
- IdM サーバーでは、存在していないシステムの証明書を作成する。
- 新しいシステムを作成する。
- 新しいシステムを IdM クライアントとして登録する。
- IdM クライアントの IdM サーバーから、証明書および鍵をインポートする。
-
certmonger
を使用して証明書の追跡を開始し、有効期限が切れる時に証明書を更新するようにする。
手順
要求 ID が 20190408143846 の証明書の監視を無効にするには、次のコマンドを実行します。
# getcert stop-tracking -i 20190408143846
その他のオプションは、
getcert stop-tracking
man ページを参照してください。/tmp/some_cert.crt
ファイルに保存されている証明書の監視を有効にするには、次のコマンドを実行します。秘密鍵が/tmp/some_key.key
ファイルに保存されます。# getcert start-tracking -c IPA -f /tmp/some_cert.crt -k /tmp/some_key.key
certmonger
は、証明書を発行した CA タイプを自動的に特定できません。そのため、IdM CA が証明書を発行した場合は、getcert start-tracking
コマンドにIPA
値を付けて-c
オプションを追加します。-c
オプションを追加しないと、certmonger
が NEED_CA 状態になります。その他のオプションは、
getcert start-tracking
man ページを参照してください。
この 2 つのコマンドは証明書を操作しません。たとえば、getcert stop-tracking
は、証明書を削除しなかったり、NSS データベースまたはファイルシステムから削除したりせず、監視する証明書のリストから証明書を削除します。同様に、getcert start-tracking
は、監視された証明書のリストに証明書のみを追加します。