CA は証明書チェーンの最上位の証明書です。CA は、クライアント証明書の生成、およびクライアントによるリポジトリへのアクセスのために提示する証明書の検証を行うために必要となります。
サードパーティーの CA は、VeriSign など信頼できる少数の企業によって管理されます。この信頼できる管理によって、クライアントはいずれかの CA に対してサーバーの識別情報の検証が可能になります。このセクションの例には、リポジトリサーバーの識別情報の検証は含まれていません。この例は、クライアント証明書の検証のみを示しています。このため、この例では、自己署名付き証明書を使用して CA を作成しており、サードパーティーの CA を使用しません。
CA では共通名 (CN) が必要です。1 つのリポジトリのみを実行する場合は、CN に「Oracle Software Delivery」などの組織の名前を設定できます。複数のリポジトリがある場合は、各リポジトリに独自の CA が必要です。この場合は、CA を作成しているリポジトリを一意に識別する名前を CN に設定します。たとえば、リリースリポジトリとサポートリポジトリがある場合、リリースリポジトリへのアクセスが許可されるのはリリース CA からの証明書のみであり、サポートリポジトリへのアクセスが許可されるのはサポート CA からの証明書のみです。
キーストア内の証明書を識別するには、証明書に説明ラベルを設定します。証明書ラベルは CN_ca に設定することをお勧めします。ここで、CN は証明書の CN です。
次のコマンドを使用して、CA 証明書を作成します。ここで、name は証明書の CN であり、CAlabel は証明書のラベルです。
$ pktool gencert label=CAlabel subject="CN=name" serial=0x01
CA はキーストアに格納されます。次のコマンドを使用して、キーストアの内容を表示します。
$ pktool list
Adding SSL Configuration to the Apache Configuration Fileの説明に従って Apache を構成する場合は、キーストアから CA 証明書を抽出する必要があります。次のコマンドを使用して、ca_file.pem という名前のファイルに CA 証明書を抽出します。
$ pktool export objtype=cert label=CAlabel outformat=pem \ outfile=ca_file.pem