LinuxでのPKI Services Managerの構成

証明書を使用したクライアントホスト認証を構成するには、Reflection PKI Services Managerをインストールし、構成する必要があります。それには次の手順を使用します。さまざまな手順が可能です。下記の各ステップの詳細については、『Reflection PKI Services Managerユーザガイド』を参照してください。これは、PKI Services Managerコンソールおよびhttp://support.attachmate.com/manuals/pki.htmlから入手できます。

設定をはじめる前に

PKI Services Managerをインストールします。
接続しているホストから提示される証明書を確認するのに必要な、信頼されている CA 証明書と中間証明書を入手します。
ホスト証明書の証明書取り消しチェックを処理する方法を決定します。PKI Services ManagerがCRLリストを使用する、OCSPレスポンダを使用する、または証明書に指定されているCRL配布ポイントに接続するように構成することができます。

Reflection PKI Services Managerを構成するには

Reflection PKI Services Managerサーバにrootとしてログインします。
Reflection PKI Services Managerをインストールします。
トラストアンカーとして指定する1つまたは複数の証明書のコピーを証明書ストアに入れます。既定のPKI Services Managerストアは以下の場所にあります。

/opt/microfocus/pkid/local-store
テキストエディタでPKI Services Manager構成ファイルを開きます。既定の名前と場所は次のとおりです。

/opt/attachmate/pkid/config/pki_config
TrustAnchor キーワードを使用してトラストアンカーを識別します。次に例を示します。

TrustAnchor = trustedca.crt

-または-

TrustAnchor = CN=SecureCA,O=Acme,C=US

メモ

複数のトラストアンカーを構成するには、TrustAnchorの行を追加します。

証明書取り消しチェックを構成します。次に例を示します。

変更後:	サンプル構成
LDAP サーバに格納されている CRL を使用します。	RevocationCheckOrder = crlserver
CRLServers=ldap://crlserver
OCSP レスポンダを使用します。	RevocationCheckOrder = ocsp
OCSPResponders = http://ocspresponder

メモ

既定では、PKI Services Managerは、ローカルストアでCRLを探します。この構成を使用する場合、ローカルストアに CRL をコピーする必要があります。

証明書の信頼のチェーンで中間証明書が必要な場合は、これらの証明書へのアクセスを構成します。次に例を示します。

変更後:	サンプル構成
ローカルストアに追加した中間証明書を使用します。	`CertSearchOrder=local`
LDAP サーバに格納されている証明書を使用します。	`CertSearchOrder=certserver
CertServers=ldap://ldapserver`

変更内容を構成ファイルに保存します。
テキストエディタでPKI Services Managerマップファイルを開きます。既定の名前と場所は次のとおりです。

/opt/attachmate/pkid/config/pki_mapfile
どのクライアントホストが有効な証明書で認証できるかを判定するために、1 つまたは複数のルールを追加します。例えば、ホスト名が証明書の[件名]フィールドの[共通名]の値に指定されている場合にクライアントホストの接続を許可するには

RuleType = host

{acme.com}
有効なPKI Services Manager構成をテストします。

/usr/local/sbin/pkid -k

エラーはありません。構成は有効です。
Reflection PKI Services Managerを再起動します。

/usr/local/sbin/pkid restart

詳細