Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. 2 コモンクライテリア (Common Criteria)
  4. I 認証
    1. 3 PAM を利用した認証
    2. 4 NIS の使用
    3. 5 YaST を利用した認証クライアントの設定
    4. 6 389 LDAP ディレクトリサービス
    5. 7 Kerberos を利用したネットワーク認証
    6. 8 Active Directory サポート
    7. 9 FreeRADIUS サーバの構築
  5. II ローカルセキュリティ
    1. 10 物理的なセキュリティ
    2. 11 seccheck を利用した自動的なセキュリティチェック
    3. 12 ソフトウエア管理
    4. 13 ファイルの管理
    5. 14 パーティションやファイルの暗号化
    6. 15 cryptctl を利用したアプリケーション向けのストレージ暗号化
    7. 16 ユーザ管理
    8. 17 Spectre/Meltdown チェッカー
    9. 18 YaST を利用したセキュリティの設定
    10. 19 PolKit による認可制御
    11. 20 Linux でのアクセス制御リスト
    12. 21 証明書ストア
    13. 22 AIDE を利用した侵入検知
  6. III ネットワークセキュリティ
    1. 23 X Window System と X 認証
    2. 24 SSH: 機密を保持するネットワーク操作
    3. 25 マスカレードとファイアウオール
    4. 26 VPN サーバの設定
    5. 27 X Window System で動作する PKI マネージャ XCA による管理
  7. IV AppArmor による権限の制限
    1. 28 AppArmor の紹介
    2. 29 入門
    3. 30 プログラムに対する予防接種
    4. 31 プロファイルのコンポーネントと文法
    5. 32 AppArmor のプロファイルリポジトリ
    6. 33 YaST を利用したプロファイルの構築と管理
    7. 34 コマンドラインからのプロファイル構築
    8. 35 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 36 pam_apparmor によるユーザの制限
    10. 37 プロファイルを作成したアプリケーションの管理
    11. 38 サポート
    12. 39 AppArmor 用語集
  8. V SELinux
    1. 40 SELinux の設定
  9. VI Linux 監査フレームワーク
    1. 41 Linux 監査システムの概要
    2. 42 Linux 監査フレームワークの設定
    3. 43 監査ルールセットの紹介
    4. 44 その他の情報源
  10. A GNU ライセンス
ナビゲーション
適用先 openSUSE Leap 15.2

27 X Window System で動作する PKI マネージャ XCA による管理

概要

従来は独自の公開鍵基盤を管理するのに openssl ユーティリティを使用してきました。 SUSE Linux Enterprise 15.3 では、グラフィカルなツールを希望する管理者向けに、 X Window System で動作する証明書/鍵管理ツール XCA を提供しています。

XCA では X.509 規格の証明書や署名要求のほか、 RSA, DSA, EC などの機密鍵やスマートカード、証明書失効リスト (CRL) を作成したり管理したりすることができます。つまり、 XCA では独自の証明機関を作成/管理するのに必要な全ての機能に対応していることになります。このほか、 XCA には証明書や署名要求の生成にあたって、カスタマイズ可能なテンプレート (雛型) も含まれています。本章では、基本的な手順を説明しています。

27.1 XCA のインストール

XCA は xca というパッケージで提供されています:

tux > sudo zypper in xca

27.2 新しい PKI の作成

XCA は暗号に関するデータをデータベース内に保存します。 XCA を初めて起動して新しい PKI を作成する場合、まずは ファイル > 新しいデータベース を選択します ( 図27.1「新しい XCA データベースの作成」 ) 。

新しい XCA データベースの作成
図 27.1: 新しい XCA データベースの作成

27.2.1 新しいルート証明機関の作成

新しいルート証明機関を作成するには、下記の手順を実施します。

  1. 署名済み証明書 タブを選択します。

  2. 新しい証明書を作成 ボタンを押します。

  3. ソース タブに移動します。ウインドウの下部には 新しい証明書のテンプレート という枠がありますので、この中で [default] CA を選択します。あとは すべてに適用 を押します。

  4. サブジェクト タブに移動します。ここでは 内部名 に名前を入力します。この名前は XCA 内部でのみ使用されるもので、識別のための名前です。

    Distinguished Name 以下の各項目に入力を行います。ここに記載されていない要素を指定したい場合は、 追加 を押して選択および入力を行ってください。

  5. 秘密キー のドロップダウンボックスでは、この証明書に結びつける機密鍵を指定します。機密鍵がない場合は、新しく作成することもできます。

  6. 拡張キー タブに移動します。ここでは必要な項目をそれぞれ設定します。既定の 有効期間 は 10 年です。また、証明書失効リスト (CRL) の配布ポイント (X509v3 CRL Distribution Points) は証明書内に記載されますので、どこからでもアクセス可能な URL を指定しておくことをお勧めします (例: http://www.example.com/crl/crl.der) 。項目の選択および入力が終わったら、 OK ボタンを押します。

27.2.2 新しいホスト証明書の作成

ここでは、新しく作成した証明機関を利用して、新しいホスト向けの証明書を作成します。

  1. 署名済み証明書 タブに移動して、 新しい証明書を作成 ボタンを押します。

  2. ソース タブでは [default] TLS_server を選択して すべてに適用 ボタンを押します。これで 拡張キー, キー使用法, Netscape の各タブの項目内に適切な値が設定されます。また、 署名 以下の選択では、 27.2.1項 「新しいルート証明機関の作成」 で作成した証明機関を選択します。

  3. サブジェクト タブに移動します。まずは 内部名 に名前を入力します。こちらは XCA 内での表示用にのみ使用される項目で、一般的にはホスト名や FQDN (完全修飾ドメイン名) を指定しておくことをお勧めします。あとは Distinguished Name 以下の項目にそれぞれ入力を行います。ホスト証明書の場合、 commonName は証明書を使用するホストの FQDN でなければなりません (別名があればそれでもかまいません) 。たとえば jupiter.example.com に Web サーバが存在していて、その Web サーバに対して www.example.com という DNS CNAME エントリが存在する場合、 commonName には www.example.com を指定します。この中に表示されていない項目を指定したい場合は、 追加 ボタンを押してドロップダウンから選択してください。また 秘密キー では、対応付ける機密鍵を選択するか作成します。

  4. 拡張キー タブを選択します。既定の 有効期間 は 1 年です。この期間を変更する場合は、忘れずに 適用 ボタンを押してください。

  5. また、証明書の失効リスト (CRL) の場所を指定しておくこともお勧めします。この場所はルート証明書ごとに別々の場所でなければなりません。 XCA では PEM 形式もしくは DER 形式で CRL を取り出すことができますので、失効リストの場所は http://www.example.com/crl/crl.der のような場所にしておくとよいでしょう。 CRL Distribution points の右側にある 編集 ボタンを押し、 追加 を押して URI を指定してください。あとは 検証 および 適用 を押します。

    あとは OK を押します。

27.2.3 証明書の失効化

  1. 署名済み証明書 タブを選択します。

  2. 失効させたい証明書をマウスの右ボタンで選択し、 失効 を選択します。

  3. 失効を行った証明機関をマウスの右ボタンで選択し、 CA > CRL を作成 を選択します。

    CRL の作成 ダイアログが表示されたら、 OK ボタンを押します。

  4. メインウインドウで 失効リスト のタブを選択します。あとは作成した失効リストを選んで エクスポート ボタンを押し、必要な形式 (おそらく DER でしょう) を選択して OK を押します。

    これでファイルとして保存が行われますので、このファイルを CRL Distribution Points (CRL 配布ポイント) で指定した場所に配置します。

このページを印刷