1. 証明書と公開キー・インフラストラクチャの管理
  2. システム証明書の管理

4 システム証明書の管理

Oracle Linuxでは、システム全体のレベルで信頼できる証明書が/etc/pki/ca-trust/および/usr/share/pki/ca-trust-source/ディレクトリ内に格納されます。通常、主要なサードパーティCAのCA証明書は、アプリケーションが正しく動作できるようにシステム全体の信頼ストアに含まれています。信頼できる証明書を中央の場所に格納することで、幅広いアプリケーションでこれらの信頼できる証明書を使用して証明書チェーンを検証および認証できます。たとえば、アプリケーションが証明書を検証する必要がある場合、システム全体の信頼内の証明書を使用して、証明書が信頼できる証明書と一致するかどうか、または証明書によって署名されているかどうかを確認します。

信頼できる証明書としてシステムに格納されるCA証明書などの証明書は、信頼アンカーと呼ばれることがよくあります。これにより、通常は信頼アンカーが見つかるまで証明書チェーンをたどることで信頼が得られる証明書と区別されます。任意の公開証明書を信頼アンカーとしてシステム信頼に追加し、すぐに検証できるようにすることが可能です。

Mozilla Foundationが通常信頼するサードパーティのCA証明書を選択し、CA-certificatesパッケージに含まれています。これらの証明書は、一般に使用するためのアンカーとしてシステム信頼ストアにインストールされます。

trustコマンドを使用したシステム証明書の管理

trustコマンドを使用すると、システム証明書の管理を簡略化できます。このコマンドは、p11-kit-trustパッケージで提供されており、ほとんどのOracle Linuxシステムにデフォルトでインストールされます。

詳細は、trust(1)マニュアル・ページを参照してください。

システム信頼内の証明書のリスト表示

現在信頼されている証明書をリストするには、次を実行します:

trust list

次のような出力が表示されます。

pkcs11:id=%37%7F%3E%3E%99%71%60%CA%24%D4%91%13%79%D0%74%29%B4%A8%24%D8;type=cert
    type: certificate
    label: A-CERT ADVANCED
    trust: anchor
    category: authority

pkcs11:id=%4B%3C%8C%1D%85%E9%6F%AD;type=cert
    type: certificate
    label: A-Trust-Qual-01
    trust: anchor
    category: authority
...

システム信頼内の各証明書には、他の信頼操作で特定の証明書を識別するために使用できるpkcs11:id値が割り当てられていることに注意してください。

信頼アンカーとしての証明書の追加

システムの信頼アンカーに証明書を追加するには、次を実行します。
sudo trust anchor /path/to/public.cert
/path/to/public.certを、システム信頼に追加する証明書ファイルへのパスに置き換えます。

このコマンドを実行すると、証明書が/etc/pki/ca-trust/source/ディレクトリに追加され、システム信頼がリフレッシュされます。証明書はすぐにアンカーとして信頼されます。

通常は、プロバイダからの証明書で、信頼し、システム信頼でまだ利用できない証明書のみを追加します。デモ用、または特定の内部ツール、開発者ツール用に生成する自己署名証明書を追加することもできます。

システムの信頼アンカーからの証明書の削除

システムの信頼アンカーから証明書を削除するには、次を実行します。

sudo trust anchor --remove pkcs11:id=<ID>
一致するpkcs11:id値を使用して、削除する証明書の<ID>を指定します。または、使用可能な証明書のコピーがある場合は、次を実行します。
sudo trust anchor --remove /path/to/public.cert
システム信頼ストアはすぐに更新されます。

信頼できる証明書の手動更新

証明書を/usr/share/pki/ca-trust-source/anchors/または/etc/pki/ca-trust/source/anchors/ディレクトリにコピーすることで、システム信頼ストアに手動で証明書を追加できます。この操作はすぐには有効になりません。これらのディレクトリを手動で更新した後、update-ca-trustコマンドを実行してシステム信頼ストアをリフレッシュする必要があります。

次に例を示します。
sudo cp /path/to/public.cert /etc/pki/ca-trust/source/anchors
sudo update-ca-trust

詳細は、update-ca-trust(8)マニュアル・ページを参照してください。