改版履歴 |
版数 | 日付 | 内容 | 担当 |
V.1.0 | 2018/2/26 | 初版 | NII |
V.1.1 | 2018/3/26 | CT対応版の中間CA証明書について説明を追加 | NII |
目次
1.OpenLDAP2 OpenLDAP2.4 によるサーバ証明書の利用
1-1. 前提条件
1-2. 事前準備
1-3. 鍵ペアの生成とCSRの作成
1-3-1. 鍵ペアの生成
1-3-2. CSRの生成
1-4. 証明書の申請から取得まで
1-5. 証明書のインストール
1-5-1. 事前準備
1-5-2. 中間CA証明書の配置
1-5-3. サーバ証明書のインストール
1-6. OpenLDAPの設定変更
1-7. サーバ証明書の置き換えインストール
1-8. 起動確認
アンカー |
---|
| _Toc506556548 |
---|
| _Toc506556548 |
---|
|
1.OpenLDAP2 OpenLDAP2.4 によるサーバ証明書の利用
アンカー |
---|
| _Toc506556549 |
---|
| _Toc506556549 |
---|
|
1-1. 前提条件
...
アンカー |
---|
| _Toc406680525 |
---|
| _Toc406680525 |
---|
|
アンカー |
---|
| _Toc506556551 |
---|
| _Toc506556551 |
---|
|
アンカー |
---|
| _Toc228110985 |
---|
| _Toc228110985 |
---|
|
1-3. 鍵ペアの生成とCSRの作成
アンカー |
---|
| _Toc406680526 |
---|
| _Toc406680526 |
---|
|
アンカー |
---|
| _Toc506556552 |
---|
| _Toc506556552 |
---|
|
1-3-1. 鍵ペアの生成以下に鍵ペアの生成方法を記述します。
鍵ペアの作成 |
- 鍵ペアを生成するため、「1-2.事前準備」の手続き1で用意したファイル (200 KB 程度) を3つ選んでください。
この手続きでは、 選択したファイルの名前を「randfile1.txt」、「randfile2.txt」、「randfile3.txt」として表記します。
用意したファイルを、作業ディレクトリに移動してください。 $mv <randfile1.txt> <randfile2.txt> <randfile3.txt> /etc/httpd/conf/ssl.key/ |
鍵ペアの作成を行うため、次のコマンドを入力してください。 今回のコマンド例では、 作業ディレクトリに移動し、2048 bitの RSA 鍵ペアを生成し、「servername.key」という名前で保存することを示しています。 ※OpenLDAPではパスフレーズ付きの私有鍵を利用することが出来ないため、 <PassPhrase> には何も入力せずEnterを押下してください。 $cd /etc/httpd/conf/ssl.key/ ←作業ディレクトリへ移動してください $openssl genrsa -des3 -rand <randfile1.txt>:<randfile2.txt>:<randfile3.txt> 2048 > servername.key Generating RSA private key, 2048 bit long modulus ..............................++++++ ...............++++++ unable to write 'random state' e is 65537 (0x10001) Enter pass phrase: <PassPhrase> ←私有鍵パスフレーズ入力 Verifying - Enter pass phrase: <PassPhrase> ←私有鍵パスフレーズ再入力 |
重要: この鍵ペア用私有鍵は、証明書のインストール時に必要となるファイルです。 OpenLDAPではパスフレーズ付きの私有鍵を利用することが出来ないため、情報が他人に漏れることがないよう、安全な方法で管理してください。
- 作成した鍵ペアのファイルを保存します。バックアップは外部媒体ディスク等に保存し、安全な場所に保存してください。
鍵ペアの中の私有鍵を利用すれば、お使いのウェブ・サーバがSSL/TLS で保護して送受信したデータを、解読することができてしまいます。 従って保存する鍵ペアファイルへのアクセス権は利用管理者自身とSSL/TLS サーバのプロセス等必要最小限になるよう設定してください。 またバックアップを保存した外部媒体ディスク等も利用管理者のみまたは同じ権限のある方のみ利用できる場所へ保管してください。 また、鍵ペア用私有鍵パスフレーズの管理も、確実に行ってください。鍵ペアファイルの紛失、鍵ペア用私有鍵パスフレーズ忘れ等が発生した場合、証明書のインストールが行えなくなります。 この場合、新たに証明書を申請しなおしていただくことになりますので、ご注意ください。
|
アンカー |
---|
| _Toc406680527 |
---|
| _Toc406680527 |
---|
|
アンカー |
---|
| _Toc506556553 |
---|
| _Toc506556553 |
---|
|
1-3-2. CSRの生成鍵ペアが作成されたことを確認後、CSRを生成します。
...
本章ではOpenLDAPへのサーバ証明書のインストール方法について記述します。
アンカー |
---|
| _Toc229553990 |
---|
| _Toc229553990 |
---|
|
アンカー |
---|
| _Toc506556556 |
---|
| _Toc506556556 |
---|
|
1-5-1. 事前準備事前準備として、サーバ証明書、中間CA証明書を取得してください。
...
アンカー |
---|
| _Toc229553991 |
---|
| _Toc229553991 |
---|
|
アンカー |
---|
| _Toc406680531 |
---|
| _Toc406680531 |
---|
|
アンカー |
---|
| _Toc506556557 |
---|
| _Toc506556557 |
---|
|
1-5-2. 中間CA証明書の配置以下の手続きに従って、中間CA証明書を指定したパスへ配置してください。
中間CA証明書の配置 |
「1-5-1.事前準備」で取得した中間CA証明書を「1-1.前提条件」3.a.で記述したパスへ移動してください。 $ mv nii-odca3sha2.cer /etc/openldap/certs/nii-odca3sha2.cer |
|
アンカー |
---|
| _Toc406680532 |
---|
| _Toc406680532 |
---|
|
アンカー |
---|
| _Toc506556558 |
---|
| _Toc506556558 |
---|
|
1-5-3. サーバ証明書のインストール新規でサーバ証明書をインストールする場合は以下の手続きによりサーバ証明書のインストールを実施してください。
...