Red Hat Summit第2章 CUPS サーバーでの TLS 暗号化の設定
CUPS は TLS 暗号化接続をサポートしており、デフォルトでは、サービスは認証を必要とするすべてのリクエストに対して暗号化接続を強制します。証明書が設定されていない場合、CUPS は秘密鍵と自己署名証明書を作成します。これで十分なのは、ローカルホスト自体から CUPS にアクセスする場合だけです。ネットワーク経由でセキュアに接続するには、認証局 (CA) によって署名されたサーバー証明書を使用します。
暗号化を使用しなかった場合、または自己署名証明書を使用した場合、中間者 (MITM) 攻撃により、次のような情報が漏洩する可能性があります。
- Web インターフェイスを使用して CUPS を設定する際の管理者の認証情報
- ネットワーク経由で印刷ジョブを送信する際の機密データ
前提条件
- CUPS が設定されている。
- 秘密鍵の作成 が完了していて、その秘密鍵に対するサーバー証明書が CA から発行されている。
- 中間証明書をサーバー証明書にアタッチしている (サーバー証明書を検証するために中間証明書が必要な場合)。
- CUPS にはサービスが鍵を読み取るときにパスワードを入力するオプションがないため、秘密鍵はパスワードで保護されません。
証明書の正規名 (
CN) またはサブジェクト代替名 (SAN) フィールドが、次のいずれかと一致する。- CUPS サーバーの完全修飾ドメイン名 (FQDN)
- DNS によってサーバーの IP アドレスに解決されるエイリアス
- 秘密鍵とサーバー証明書ファイルが、Privacy Enhanced Mail (PEM) 形式を使用している。
- クライアントが CA 証明書を信頼している。
- サーバーが RHEL 9.2 以降を実行し、FIPS モードが有効になっている場合、クライアントが Extended Master Secret (EMS) 拡張機能をサポートしているか、TLS 1.3 を使用している必要があります。EMS を使用しない TLS 1.2 接続は失敗します。詳細は、Red Hat ナレッジベースソリューション TLS extension "Extended Master Secret" enforced を参照してください。
手順
/etc/cups/cups-files.confファイルを編集し、次の設定を追加して自己署名証明書の自動作成を無効にします。CreateSelfSignedCerts no
CreateSelfSignedCerts noCopy to Clipboard Copied! Toggle word wrap Toggle overflow 自己署名証明書と秘密鍵を削除します。
rm /etc/cups/ssl/<hostname>.crt /etc/cups/ssl/<hostname>.key
# rm /etc/cups/ssl/<hostname>.crt /etc/cups/ssl/<hostname>.keyCopy to Clipboard Copied! Toggle word wrap Toggle overflow オプション: サーバーの FQDN を表示します。
hostname -f server.example.com
# hostname -f server.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 秘密鍵とサーバー証明書を
/etc/cups/ssl/ディレクトリーに保存します。次に例を示します。mv /root/server.key /etc/cups/ssl/server.example.com.key mv /root/server.crt /etc/cups/ssl/server.example.com.crt
# mv /root/server.key /etc/cups/ssl/server.example.com.key # mv /root/server.crt /etc/cups/ssl/server.example.com.crtCopy to Clipboard Copied! Toggle word wrap Toggle overflow 重要CUPS では、秘密鍵に
<fqdn>.key、サーバー証明書ファイルに<fqdn>.crtという名前を付ける必要があります。エイリアスを使用する場合は、ファイルに<alias>.keyおよび<alias>.crtという名前を付ける必要があります。rootユーザーのみがこのファイルを読み取ることができるように、秘密鍵にセキュアなパーミッションを設定します。chown root:root /etc/cups/ssl/server.example.com.key chmod 600 /etc/cups/ssl/server.example.com.key
# chown root:root /etc/cups/ssl/server.example.com.key # chmod 600 /etc/cups/ssl/server.example.com.keyCopy to Clipboard Copied! Toggle word wrap Toggle overflow 証明書は、セキュアな接続を確立する前のクライアントとサーバー間の通信の要素であるため、どのクライアントも認証なしで証明書を取得できます。したがって、サーバー証明書ファイルに厳密なパーミッションを設定する必要はありません。
SELinux コンテキストを復元します。
restorecon -Rv /etc/cups/ssl/
# restorecon -Rv /etc/cups/ssl/Copy to Clipboard Copied! Toggle word wrap Toggle overflow オプション: 証明書の
CNフィールドと SAN フィールドを表示します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow サーバー証明書の
CNまたは SAN フィールドにサーバーの FQDN とは異なるエイリアスが含まれている場合は、ServerAliasパラメーターを/etc/cups/cupsd.confファイルに追加します。ServerAlias alternative_name.example.com
ServerAlias alternative_name.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow この場合、以降の手順で FQDN の代わりに代替名を使用します。
デフォルトでは、CUPS は、Web インターフェイスの
/adminページで管理タスクを実行する場合など、タスクで認証が必要な場合にのみ暗号化接続を強制します。CUPS サーバー全体の暗号化を強制するには、
/etc/cups/cupsd.confファイル内のすべての<Location>ディレクティブにEncryption Requiredを追加します。次に例を示します。<Location /> ... Encryption Required </Location>
<Location /> ... Encryption Required </Location>Copy to Clipboard Copied! Toggle word wrap Toggle overflow CUPS を再起動します。
systemctl restart cups
# systemctl restart cupsCopy to Clipboard Copied! Toggle word wrap Toggle overflow
検証
-
ブラウザーを使用して、
https://<hostname>:631/admin/にアクセスします。アクセスするには、ブラウザーが CA 証明書を信頼している必要があります。接続が成功すれば、CUPS で TLS 暗号化が正しく設定されています。 -
サーバー全体の暗号化を必須とするように設定した場合は、
http://<hostname>:631/にアクセスします。この場合、CUPS はUpgrade Requiredというエラーを返します。
トラブルシューティング
cupsサービスのsystemdジャーナルエントリーを表示します。journalctl -u cups
# journalctl -u cupsCopy to Clipboard Copied! Toggle word wrap Toggle overflow HTTPS プロトコルを使用した Web インターフェイスへの接続に失敗した後、ジャーナルに
Unable to encrypt connection: Error while reading fileというエラーが含まれている場合は、秘密鍵とサーバー証明書ファイルの名前を確認します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}