カスタム認証局 (CA) 証明書は、ほかの証明書に署名するために使用されます。システムは、証明書で参照されている CA が、/etc/certs/CA に対応する CA 証明書を持つことを確認することによって、鍵と証明書が有効かどうかを判断します。
独自の CA 証明書の作成およびテストについては、Oracle Solaris 11.3 パッケージリポジトリのコピーと作成 の 自己署名付きサーバー認証局の作成を参照してください。
trust-anchor-directory イメージプロパティーについては、イメージとパブリッシャーのプロパティーの構成を参照してください。
CA 証明書を trust-anchor-directory で指定されたディレクトリに直接配置します。証明書を別のサブディレクトリに配置しないでください。
ディレクトリ内にすでに存在する証明書の複製である CA 証明書をディレクトリ内に配置しないでください。
有効な証明書ファイルではないファイルをディレクトリ内に配置しないでください。
$ svcadm refresh svc:/system/ca-certificates:default
サービスがオンラインであることを確認します。
$ svcs ca-certificates
サービスが online 状態でない場合、または CA が /etc/certs/ca-certificates.crt に表示されない場合、次のサービスログファイルを確認します。
$ svcs -xL ca-certificates
証明書および鍵ファイルをパッケージ化すると、複数のシステムの証明書および鍵の更新が簡単になります。証明書を変更する必要がある場合、パッケージを更新し、各システムでパッケージの pkg update を実行します。
file group=sys mode=0644 owner=root path=etc/certs/CA/mycert.pem \ refresh_fmri=svc:/system/ca-certificates:default
次の pkgmogrify 規則はこのリフレッシュアクチュエータの追加を自動化します。
<transform file path=etc/certs/CA/.*\.pem -> add refresh_fmri svc:/system/ca-certificates:default>
/etc、/etc/certs、および /etc/certs/CA ディレクトリはすでにシステムによって配布されています。生成されたマニフェストに必要なメタデータを追加するおよび パッケージを検証するを参照してください。