1.3. コマンドラインで Directory Server への TLS 暗号化接続の有効化
TLS による暗号化または証明書ベースの認証を使用するには、Network Security Services (NSS) データベースで証明書を管理する必要があります。インスタンスを作成すると、dscreate
ユーティリティーは /etc/dirsrv/slapd-instance_name/
ディレクトリーにこのデータベースを自動的に作成し、強力なパスワードで保護します。
手順
プライベートキーおよび証明書署名要求 (CSR) を作成します。外部ユーティリティーを使用して作成する場合は、この手順を省略します。
ホストが 1 つの名前のみで到達可能である場合は、以下を実行します。
#
dsctl instance_name tls generate-server-cert-csr -s "CN=server.example.com,O=example_organization"
複数の名前でホストにアクセスできる場合は、以下を行います。
#
dsctl instance_name tls generate-server-cert-csr -s "CN=server.example.com,O=example_organization" server.example.com server.example.net
最後のパラメーターとしてホスト名を指定した場合、このコマンドは
DNS:server.example.com, DNS:server.example.net
エントリーで SAN (Subject Alternative Name) 拡張を CSR に追加します。
-s subject
パラメーターで指定した文字列は、RFC 1485 に従って有効なサブジェクト名である必要があります。サブジェクトのCN
フィールドが必要で、サーバーの完全修飾ドメイン名 (FQDN) の 1 つに設定する必要があります。このコマンドは、/etc/dirsrv/slapd-instance_name/Server-Cert.csr
ファイルに CSR を保存します。- 認証局 (CA) に CSR を送信し、発行した証明書を取得します。詳細は、CA のドキュメントを参照してください。
CA が発行するサーバー証明書を NSS データベースにインポートします。
dsctl tls generate-server-cert-csr
コマンドを使用して秘密鍵を作成した場合は、以下を入力します。#
dsconf -D "cn=Directory Manager" ldap://server.example.com security certificate add --file /root/instance_name.crt --name "server-cert" --primary-cert
--name _certificate_nickname
パラメーターで設定した証明書の名前を書き留めておきます。これは後のステップで必要になります。外部ユーティリティーを使用して秘密鍵を作成した場合は、サーバー証明書および秘密鍵をインポートします。
#
dsctl instance_name tls import-server-key-cert /root/server.crt /root/server.key
このコマンドでは、最初にサーバー証明書へのパスを指定してから、秘密鍵へのパスを指定する必要があります。このメソッドは、証明書のニックネームを
Server-Cert
に設定します。
CA 証明書を NSS データベースにインポートします。
#
dsconf -D "cn=Directory Manager" ldap://server.example.com security ca-certificate add --file /root/ca.crt --name "Example CA"
CA 証明書の信頼フラグを設定します。
#
dsconf -D "cn=Directory Manager" ldap://server.example.com security ca-certificate set-trust-flags "Example CA" --flags "CT,,"
これにより、Directory Server が、TLS による暗号化および証明書ベースの認証に対して CA を信頼するように設定します。
TLS を有効にし、LDAPS ポートを設定します。
#
dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-securePort=636 nsslapd-security=on
firewalld
サービスで LDAPS ポートを開きます。#
firewall-cmd --permanent --add-port=636/tcp
#firewall-cmd --reload
RSA 暗号ファミリーを有効にし、NSS データベースセキュリティーデバイスおよびサーバー証明書名を設定します。
#
dsconf -D "cn=Directory Manager" ldap://server.example.com security rsa set --tls-allow-rsa-certificates on --nss-token "internal (software)" --nss-cert-name Server-Cert
デフォルトでは、NSS データベースのセキュリティーデバイスの名前は
internal (software)
です。オプション: プレーンテキストの LDAP ポートを無効にします。
#
dsconf inst security disable_plain_port
インスタンスの再起動
#
dsctl instance_name restart
検証
LDAPS プロトコルを使用して Directory Server への接続を確立します。たとえば、クエリーを実行します。
#
ldapsearch -H ldaps://server.example.com:636 -D "cn=Directory Manager" -W -b "dc=example,dc=com" -x -s base
コマンドが失敗し、
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
エラーが発生した場合は、デバッグレベル 1 でコマンドを再実行します。#
ldapsearch -H ldaps://server.example.com:636 -D "cn=Directory Manager" -W -b "dc=example,dc=com" -x -s base -d 1
次のステップ