13.2.19. ドメインオプション: 証明書のサブジェクト名での IP アドレスの使用(LDAP のみ)
サーバー名の代わりに
ldap_uri
オプションで IP アドレスを使用すると、TLS/SSL 接続が失敗する可能性があります。TLS/SSL 証明書には、IP アドレスではなくサーバー名が含まれます。ただし、証明書の サブジェクトの別名 フィールドを使用して、サーバーの IP アドレスを含めることができます。これにより、IP アドレスを使用した正常な接続が可能になります。
手順13.8 証明書のサブジェクト名での IP アドレスの使用
- 既存の証明書を証明書要求に変換します。署名鍵(
-signkey
)は、最初に証明書を発行した CA の発行者のキーです。外部 CA でこれを行う場合は、別の PEM ファイルが必要です。証明書が自己署名されている場合は、証明書自体になります。以下に例を示します。openssl x509 -x509toreq -in old_cert.pem -out req.pem -signkey key.pem
自己署名証明書の場合:openssl x509 -x509toreq -in old_cert.pem -out req.pem -signkey old_cert.pem
/etc/pki/tls/openssl.cnf
設定ファイルを編集して、[ v3_ca ]
セクションにサーバーの IP アドレスを追加します。subjectAltName = IP:10.0.0.10
- 生成された証明書要求を使用して、指定した IP アドレスで新規の自己署名証明書を生成します。
openssl x509 -req -in req.pem -out new_cert.pem -extfile ./openssl.cnf -extensions v3_ca -signkey old_cert.pem
-extensions
オプションは、証明書で使用する拡張機能を設定します。適切なセクションを読み込むには、v3_ca にする必要があります。 old_cert.pem
ファイルからnew_cert.pem
ファイルに秘密鍵ブロックをコピーし、1 つのファイルに関連情報をすべて保持します。
nss-tools パッケージが提供する certutil ユーティリティーを使用して証明書を作成する場合は、certutil が証明書作成の DNS サブジェクト代替名をサポートすることに注意してください。