SUSE Linuxのマニュアル > インストールおよび管理 > セキュリティ > X.509証明書の管理 >

Quick Navigation:

I. II. III. IV. V. VI.

42 43 44 45 46 47 48 49

CA管理用のYaSTモジュール

YaSTには、基本的なCA管理作業を行うために、2つのモジュールが用意されています。ここでは、これらのモジュールを使った、主な管理作業について説明していきます。

ルートCAの作成

PKIをセットアップするには、まずルートCAを作成します。以下を実行します。

  1. YaSTを起動して、[セキュリティとユーザ]+[CA Management(CAの管理)]の順に選択します。

  2. [Create Root CA]をクリックします。

  3. 最初のダイアログでは、CAに関する基本的な情報を入力します。このダイアログの例を図 42.1. 「YaST CAモジュール—ルートCAの基本データ」に示します。このダイアログ中の、各テキストフィールドの意味を以下に示します。

    図 42.1. YaST CAモジュール—ルートCAの基本データ

    YaST CAモジュール—ルートCAの基本データ

    CA Name

    CAの名前を入力します。この名前から、ディレクトリ名や他の情報が作成されます。そのため、使用できる文字は制限されています。使用できる文字については、ヘルプを参照してください。ここに指定した名前は、モジュール開始時の概要にも表示されます。

    Common Name

    CAを参照する場合に使用する名前を入力します。

    E-Mail Addresses

    複数の電子メールアドレスを入力することができます。CAのユーザには、この電子メールアドレスが表示されます。電子メールアドレスは、問い合わせ先などを知らせる場合に役立ちます。

    Country

    CAを運用する国を選択します。

    OrganisationOrganisational UnitLocalityState

    オプション項目です

  4. [Next]をクリックします。

  5. 2番目のダイアログでは、パスワードを入力します。サブCAを作成したり、証明書を生成するなど、CAを使用する場合は常にパスワードが必要になります。このダイアログ中の、各テキストフィールドの意味を以下に示します。

    Key Length

    [Key Length]には、妥当なデフォルト値が含まれているため、アプリケーションがここに指定されているキー長を処理できない場合を除いて、変更する必要はありません。

    Valid Period(日数)

    CAの場合、[Valid Period]のデフォルト値は3560日になります(約10年)。削除されたCAを交換する場合、膨大な管理作業の手間がかかるため、このような長期間の値がデフォルト値になっています。

    [詳細オプション]をクリックすると、X.509エクステンション()からの他の属性を設定するダイアログが表示されます。図 42.4. 「YaST CAモジュール—拡張設定」これらの値には、それぞれ妥当なデフォルト値が設定されています。そのため、本当に変更する必要がある場合以外は、これらの値を変更してはなりません。

  6. 確認のため、現在の設定が表示されます。[作成]をクリックします。ルートCAが作成され、概要に表示されます。

[Tip]

一般的に、ルートCAによるユーザ証明書の発行は禁止することをお勧めします。最低でも1つのサブCAを作成し、そこからユーザ証明書を発行するようにしてください。こうすることによって、ルートCAを安全な場所に隔離することができます(たとえば、隔離されているコンピュータや安全な部屋など)。こうすることにより、ルートCAへの攻撃を防ぐことができます。

サブCAの作成と取り消し

サブCAは、ルートCAと同一の手順で作成することができます。以下を実行します。

  1. YaSTを起動して、CAモジュールを開きます。

  2. 目的のCAを選択して、[Enter CA]をクリックします。

    [Note]

    サブCAの有効期間は、「」CAの有効期間内でなければなりません。サブCAは「」CAの後に作成されるため、デフォルト値を利用するとエラーメッセージが表示されてしまいます。そのため、適切な有効期間を入力してください。

  3. このCAが初めての場合は、パスワードを入力します。[説明]タブに、CA鍵の情報が表示されます(図 42.2を参照)。

    図 42.2. YaST CAモジュール—CAの使用

    YaST CAモジュール—CAの使用

  4. [詳細]をクリックして、[Create SubCA]を選択します。ルートCAの作成時と同じダイアログが表示されます。

  5. 42.2.1項 「ルートCAの作成」の説明に従って、作業を行ってください。

  6. [証明書]タブを選択します。セキュリティ上の危険があるサブCAや、不要になったサブCAを取り消すには、[Revoke]を使用します。ここで、サブCAを取り消すだけでは、サブCAが完全に無効にはなりません。CRLを使って、サブCAの取り消しを公開する必要があります。CRLの作成については、42.2.5項 「CRLの作成 」を参照してください。

  7. [OK]をクリックして、作業を完了します。

ユーザ証明書の作成と取り消し

クライアント/サーバ証明書の作成は、42.2.1項 「ルートCAの作成」で説明されているCAの作成とよく似ています。同じ原理がこの場合にも当てはまります。電子メール用の証明書では、電子メールプログラムが正しい証明書を割り当てることができるように、電子メール署名と送信者(秘密鍵所有者)の電子メールアドレスが含まれていなければなりません。暗号化中の証明書割り当てでは、証明書に受信者(公開鍵所有者)の電子メールアドレスを含める必要があります。サーバ/クライアント証明書の場合、[Common Name]フィールドにサーバのホスト名を入力する必要があります。証明書のデフォルトの有効期間は365日です。

クライアント/サーバ証明書を作成するには、以下の手順に従ってください。

  1. YaSTを起動して、CAモジュールを開きます。

  2. 目的のCAを選択して、[Enter CA]をクリックします。

  3. このCAが初めての場合は、パスワードを入力します。[説明]タブに、CA鍵の情報が表示されます。

  4. [証明書]をクリックします(図 42.3. 「CAの証明書」を参照)。

    図 42.3. CAの証明書

    CAの証明書

  5. [追加]+[Add Server Certificate]の順にクリックして、サーバ証明書を作成します。

  6. [追加]+[Add Client Certificate]の順にクリックして、クライアント証明書を作成します。電子メールアドレスを忘れずに入力してください。

  7. [OK]をクリックして、作業を完了します。

セキュリティ上の危険がある証明書や、不要になった証明書を取り消すには、以下の手順に従ってください。

  1. YaSTを起動して、CAモジュールを開きます。

  2. 目的のCAを選択して、[Enter CA]をクリックします。

  3. このCAが初めての場合は、パスワードを入力します。[説明]タブに、CA鍵の情報が表示されます。

  4. [証明書]をクリックします(42.2.2項 「サブCAの作成と取り消し」を参照)。

  5. 取り消す証明書を選択して、[Revoke]をクリックします。

  6. 証明書を取り消す理由を選択します。

  7. [OK]をクリックして、作業を完了します。

[Note]

証明書を取り消すだけでは、証明書が無効にはなりません。同様に、CRLを使って証明書の取り消しを公開する必要があります。CRLの作成方法については、42.2.5項 「CRLの作成 」を参照してください。[削除]を使ってCRLを公開すると、取り消された証明書が完全に削除されます。

デフォルト値の変更

前の項では、サブCA、クライアント証明書、およびサーバ証明書の作成方法について説明しました。X.509証明書のエクステンションでは、特別な設定が使われています。これらの設定項目には、それぞれ妥当なデフォルト値が設定されているため、通常これらの値を変更する必要はありません。ただし、状況によってはこれらのエクステンションに特定の値を設定しなければならないこともあります。このような場合は、必要に応じてデフォルト値を適切な値に調整してください。それ以外の場合は、毎回最初から証明書を作成してください。

  1. YaSTを起動して、CAモジュールを開きます。

  2. 42.2.2項 「サブCAの作成と取り消し」の説明に従って、目的のCAを開きます。

  3. [詳細]+[Edit Defaults]の順にクリックします。

  4. 変更する設定項目の種類を選択します。図 42.4. 「YaST CAモジュール—拡張設定」のような、デフォルト値を変更するためのダイアログが表示されます。

    図 42.4. YaST CAモジュール—拡張設定

    YaST CAモジュール—拡張設定

  5. 右側にある適切な値を変更して、重要な設定に[critical]を設定するか、または不要な設定を解除してください。

  6. [次へ]をクリックすると、簡単な概要が表示されます。

  7. [保存]をクリックして変更内容を保存します。

[Tip]

デフォルト値の変更内容は、この時点より後に作成されるオブジェクトにのみ適用されます。すでに存在しているCAや証明書は変更されません。

CRLの作成

セキュリティ上の危険がある証明書や、不要になった証明書を、今後利用できないようにするには、まずその証明書を取り消す必要があります。証明書を取り消す方法は、42.2.2項 「サブCAの作成と取り消し」(サブCAの場合)および42.2.3項 「ユーザ証明書の作成と取り消し」(ユーザ証明書の場合)で説明しています。証明書を取り消したら、CRLを作成して証明書の取り消し情報を公開する必要があります。

システムは、各CAを1つのCRLで管理しています。このCRLを作成、更新するには、以下の手順に従ってください。

  1. YaSTを起動して、CAモジュールを開きます。

  2. 42.2.2項 「サブCAの作成と取り消し」の説明に従って、目的のCAを開きます。

  3. [CRL]をクリックします。ダイアログに、このCAの最後のCRLの概要が表示されます。

  4. 作成後にサブCAや証明書を取り消した場合は、[Generate CRL]を使って新たなCRLを作成します。

  5. CRLの有効期間を入力します(デフォルトは30日)。

  6. [OK]をクリックすると、CRLが作成、表示されます。CRLを作成したら、それを公開する必要があります。

[Tip]

CRLが利用できない、またはCRLの有効期限を過ぎている場合、アプリケーションはそのCRLを評価して、CRLを拒否します。PKIプロバイダは、現在のCRLの有効期間(妥当性の期限)が切れる前に、新しいCRLを作成して公開する義務があります。YaSTには、この作業を自動化する機能は用意されていません。

CAオブジェクトのLDAPへのエクスポート

この作業を実行するコンピュータには、LDAPエクスポート用のYaST LDAPクライアントを設定する必要があります。こうすることにより、ダイアログの各フィールドを入力する際に利用できる、LDAPサーバ情報が実行時に提供されます。LDAPエクスポート用のYaST LDAPクライアントを設定しない場合、エクスポートすることはできますが、すべてのLDAPデータを手動で入力しなければならなくなります。特定のパスワードは、常に入力する必要があります(表 42.3. 「LDAPエクスポート中に必要なパスワード」を参照)。

表 42.3. LDAPエクスポート中に必要なパスワード

パスワード

意味

LDAP Password

LDAPツリー中にエントリを作成することを許可します。

Certificate Password (証明書パスワード)

証明書をエクスポートすることを許可します。

New Certificate Password (新規証明書パスワード)

LDAPのエクスポート中は、PKCS12形式が使われます。この形式では、エクスポートされた証明書に対して、新しいパスワードを割り当てる必要があります。


LDAPには、証明書、CA、およびCRLをエクスポートできます。

LDAPへのCAのエクスポート

CAをエクスポートするには、42.2.2項 「サブCAの作成と取り消し」の説明に従ってCAを開きます。表示されるダイアログから、[Extended]+[Export to LDAP]の順に選択して、LDAPデータを入力するためにダイアログを表示します。すでにシステムが、YaST LDAPクライアントを使って設定されている場合、一部のフィールドはすでに記入されています。そうでない場合は、すべてのデータを手動で入力してください。エントリはLDAP中の個別のツリーに、属性「caCertificate」で保存されます。

LDAPへの証明書のエクスポート

エクスポートする証明書のあるCAを開き、[Certificates]を選択します。ダイアログの上部にある証明書リストから目的の証明書を選択し、[Export]+[Export to LDAP]の順に選択します。ここでは、CAの場合と同様に、LDAPデータを入力していきます。証明書は、「userCertificate」 (PEM形式)および「userPKCS12」 (PKCS12形式)の各属性のあるLDAPツリー中の対応するユーザオブジェクトとともに保存されます。

LDAPへのCRLのエクスポート

エクスポートするCRLのあるCAを開き、[CRL]を選択します。必要に応じて新しいCRLを作成して、[エクスポート]をクリックします。ダイアログが開き、エクスポートパラメータが表示されます。このCAのCRLを1回のみ、または定期的にエクスポートできます。[LDAPにエクスポート]を選択してエクスポートを有効にして、該当するLDAPデータを入力します。定期的に実行するには、[再作成とエクスポートの繰り返し]ラジオボタンを選択して、必要に応じて間隔を変更します。

CAオブジェクトのファイルへのエクスポート

コンピュータ上にCAを管理するリポジトリを設定している場合、このオプションを使ってCAオブジェクトを適切な場所に、直接ファイルとして作成することができます。CAオブジェクトは、PEM、DER、およびPKCS12など、さまざまな形式で出力することができます。PEMを利用する場合は、証明書と一緒に鍵をエクスポートするかどうか、および鍵を暗号化するかどうかを指定することもできます。PKCS12を利用する場合は、証明書のパスをエクスポートすることもできます。

証明書およびCAも、42.2.6項 「CAオブジェクトのLDAPへのエクスポート 」で説明されているLDAPと同じ方法でエfクスポートできます。ただし、[LDAPにエクスポート]の代わりに[Export as File]を選択します。この項目を選択すると、出力形式を選択し、パスワードとファイル名を入力するためのダイアログが表示されます。[OK]をクリックすると、証明書が必要な場所に保存されます。

CRLの場合は[エクスポート]をクリックして[ファイルにエクスポート]を選択し、エクスポートフォーマット(PEMまたはDER)を選択してパスを入力します。[OK]をクリックして続行し、該当する場所に保存します。

[Tip]

保存先としては、ファイルシステム中の任意の場所を選択することができます。このオプションは、CAオブジェクトをUSBスティックなどのリムーバブルメディアに保存する場合にも利用できます。/mediaディレクトリには、一般にシステムのハードディスク以外のあらゆるタイプのドライブが保持されます。

共通サーバ証明書のインポート

CA管理コンピュータとは別のメディアに、YaSTを使ってサーバ証明書をエクスポートしたら、その証明書を共通サーバ証明書として他のサーバにインポートすることができます。インポートは、インストール時に行うことも、後でYaSTを使って行うこともできます。

[Note]

証明書を正常にインポートするには、いずれかのPKCS12形式が必要になります。

共通サーバ証明書は/etc/ssl/servercertsに保管され、CAをサポートする任意のサービスで利用することができます。この証明書の有効期限が切れた場合、同じ方法で簡単に証明書を置換することができます。置換した証明書を正常に機能させるには、関連するサービスを再開始してください。

[Tip]

ここで[インポート]を選択すれば、ファイルシステム中のソースを選択することができます。このオプションは、USBスティックなどのリムーバブルメディアから証明書をインポートする場合にも利用できます。

共通サーバ証明書をインポートするには、以下の手順に従ってください。

  1. YaSTを起動して、[セキュリティとユーザ]の下にある[Common Server Certificate]を開きます。

  2. YaSTが起動したら、説明フィールドに記載されている現在の証明書のデータを確認します。

  3. [インポート]を選択して、証明書ファイルを選択します。

  4. パスワードを入力して、[次へ]をクリックします。証明書がインポートされ、それが説明フィールドに表示されます。

  5. [完了]をクリックして、YaSTを終了します。

SUSE Linuxのマニュアル > インストールおよび管理 > セキュリティ > X.509証明書の管理 >

Quick Navigation:

I. II. III. IV. V. VI.

42 43 44 45 46 47 48 49