Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

13.2.19. ドメインオプション: 証明書のサブジェクト名での IP アドレスの使用(LDAP のみ)

サーバー名の代わりに ldap_uri オプションで IP アドレスを使用すると、TLS/SSL 接続が失敗する可能性があります。TLS/SSL 証明書には、IP アドレスではなくサーバー名が含まれます。ただし、証明書の サブジェクトの別名 フィールドを使用して、サーバーの IP アドレスを含めることができます。これにより、IP アドレスを使用した正常な接続が可能になります。

手順13.8 証明書のサブジェクト名での IP アドレスの使用

  1. 既存の証明書を証明書要求に変換します。署名鍵(-signkey)は、最初に証明書を発行した CA の発行者のキーです。外部 CA でこれを行う場合は、別の PEM ファイルが必要です。証明書が自己署名されている場合は、証明書自体になります。以下に例を示します。
    openssl x509 -x509toreq -in old_cert.pem -out req.pem -signkey key.pem
    自己署名証明書の場合:
    openssl x509 -x509toreq -in old_cert.pem -out req.pem -signkey old_cert.pem
  2. /etc/pki/tls/openssl.cnf 設定ファイルを編集して、[ v3_ca ] セクションにサーバーの IP アドレスを追加します。
    subjectAltName = IP:10.0.0.10
  3. 生成された証明書要求を使用して、指定した IP アドレスで新規の自己署名証明書を生成します。
    openssl x509 -req -in req.pem -out new_cert.pem -extfile ./openssl.cnf -extensions v3_ca -signkey old_cert.pem
    -extensions オプションは、証明書で使用する拡張機能を設定します。適切なセクションを読み込むには、v3_ca にする必要があります。
  4. old_cert.pem ファイルから new_cert.pem ファイルに秘密鍵ブロックをコピーし、1 つのファイルに関連情報をすべて保持します。
nss-tools パッケージが提供する certutil ユーティリティーを使用して証明書を作成する場合は、certutil が証明書作成の DNS サブジェクト代替名をサポートすることに注意してください。