10.8. 属性暗号化に使用される TLS 証明書の更新
属性の暗号化は TLS 証明書に基づいています。TLS 証明書の更新または置き換え後に属性の暗号化が失敗するのを防ぐには、以下を実行します。
- 復号化された属性でデータベースをエクスポートします。「暗号化したデータベースのエクスポート」を参照してください。
- Network Security Services (NSS) データベースから既存の秘密鍵と証明書を削除します。「秘密鍵の削除」を参照してください。
- Certificate Signing Request (CSR) を新規作成します。「証明書署名要求の作成」を参照してください。
- 新しい証明書をインストールします。「証明書のインストール」 を参照してください。
- Directory Server インスタンスを停止します。
# systemctl stop dirsrv@instance_name
/etc/dirsrv/slapd-instance_name/dse.ldif
ファイルを編集し、属性を含む以下のエントリーを削除します。- cn=AES,cn=encrypted attribute keys,cn=database_name,cn=ldbm database,cn=plugins,cn=config
- cn=3DES,cn=encrypted attribute keys,cn=database_name,cn=ldbm database,cn=plugins,cn=config
重要全データベースのエントリーを削除します。nsSymmetricKey
属性を含むエントリーが/etc/dirsrv/slapd-instance_name/dse.ldif
ファイルに残されると、Directory Server は起動に失敗します。- データベースをインポートします。「暗号化されたデータベースへの LDIF ファイルのインポート」を参照してください。
- インスタンスを起動します。
# systemctl start dirsrv@instance_name