検索

22.9. OpenSSL を使用したカスタム IMA 鍵の作成

download PDF

OpenSSL を使用して、デジタル証明書の CSR を生成し、コードを保護できます。

カーネルは、.ima キーリングでコード署名鍵を検索し、IMA 署名を検証します。コード署名鍵を .ima キーリングに追加する前に、IMA CA キーが .builtin_trusted_keys または .secondary_trusted_keys キーリング内のこの鍵に署名していることを確認する必要があります。

前提条件

  • カスタム IMA CA キーに次の拡張がある。

    • CA ブール値がアサートされた基本制約の拡張。
    • keyCertSign ビットがアサートされているが、digitalSignatureアサートされていない KeyUsage 拡張。
  • カスタム IMA コード署名鍵が次の基準に該当する。

    • IMA CA キーがこのカスタム IMA コード署名鍵に署名している。
    • カスタムキーに subjectKeyIdentifier 拡張が含まれている。

手順

  1. カスタム IMA CA キーペアを生成するには、次のコマンドを実行します。

    # openssl req -new -x509 -utf8 -sha256 -days 3650 -batch -config ima_ca.conf -outform DER -out custom_ima_ca.der -keyout custom_ima_ca.priv
  2. オプション: ima_ca.conf ファイルの内容を確認するには、次のコマンドを実行します。

    # cat ima_ca.conf
    [ req ]
    default_bits = 2048
    distinguished_name = req_distinguished_name
    prompt = no
    string_mask = utf8only
    x509_extensions = ca
    
    [ req_distinguished_name ]
    O = YOUR_ORG
    CN =  YOUR_COMMON_NAME IMA CA
    emailAddress = YOUR_EMAIL
    
    [ ca ]
    basicConstraints=critical,CA:TRUE
    subjectKeyIdentifier=hash
    authorityKeyIdentifier=keyid:always,issuer
    keyUsage=critical,keyCertSign,cRLSign
  3. 秘密鍵と IMA コード署名鍵の証明書署名要求 (CSR) を生成するには、次のコマンドを実行します。

    # openssl req -new -utf8 -sha256 -days 365 -batch -config ima.conf -out custom_ima.csr -keyout custom_ima.priv
  4. オプション: ima.conf ファイルの内容を確認するには、次のコマンドを実行します。

    # cat ima.conf
    [ req ]
    default_bits = 2048
    distinguished_name = req_distinguished_name
    prompt = no
    string_mask = utf8only
    x509_extensions = code_signing
    
    [ req_distinguished_name ]
    O = YOUR_ORG
    CN = YOUR_COMMON_NAME IMA signing key
    emailAddress = YOUR_EMAIL
    
    [ code_signing ]
    basicConstraints=critical,CA:FALSE
    keyUsage=digitalSignature
    subjectKeyIdentifier=hash
    authorityKeyIdentifier=keyid:always,issuer
  5. IMA CA 秘密鍵を使用して CSR に署名し、IMA コード署名証明書を作成します。

    # openssl x509 -req -in custom_ima.csr -days 365 -extfile ima.conf -extensions code_signing -CA custom_ima_ca.der -CAkey custom_ima_ca.priv -CAcreateserial -outform DER -out ima.der
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.