Red Hat Training

A Red Hat training course is available for Red Hat Directory Server

E.2.7. TLS の使用

管理サーバーは、サーバーで TLS が有効になっている場合に HTTPS(セキュアな HTTP)上で実行できます。TLS を有効にする手順があります。
  1. 証明書要求の生成および送信。
  2. 証明書の受信およびインストール。
  3. 証明書を発行した認証局(CA)を信頼すること。
  4. 管理サーバー設定を変更して TLS 接続を許可します。

E.2.7.1. 管理サーバーの証明書の管理

管理コンソールの証明書を要求およびインストールするには、Directory Server コンソールの手順に従います。以下を参照してください。
重要
使用する場合は、以下を行います。
  • グラフィカルユーザーインターフェース。Directory Server コンソールではなく、管理コンソールの 証明書の管理 メニューで手順を実行します。
  • Network Security Services(NSS)データベースを管理する場合は、/etc/ dirsrv/slapd-instance_name/ ディレクトリーの代わりに /etc /dirsrv/admin-serv / コマンドを使用します。
E.2.7.1.1. 管理サーバーの Directory Server プライベートキーおよび証明書の使用
管理サーバーおよび Directory Server は、異なる PKI データベースを使用します。Directory Server の Certificate Request Wizard が渡されると、自動生成された秘密鍵は Directory Server の PKI データベースに保存されます。ただし、同じ秘密鍵が両方のデータベースに存在しないため、発行した証明書は他のデータベースにインストールできません。
以下のコマンドを実行して Directory Server の秘密鍵および証明書をエクスポートし、それらを Administration Server のデータベースにインポートします。
  1. 管理サーバーをシャットダウンします。 
    # systemctl stop dirsrv-admin
  2. Directory Server をシャットダウンします。 
    # systemctl stop dirsrv@instance
  3. Directory Server NSS データベースの内容を一覧表示します。 
    # certutil -L -d /etc/dirsrv/admin-serv/

Certificate Nickname                     Trust Attributes
                                         SSL,S/MIME,JAR/XPI

Demo CA                                  CT,,
server-cert                              u,u,u
  4. Directory Server の PKI データベースから、server-cert という名前の秘密鍵と証明書をエクスポートします。 
    # pk12util -o /tmp/keys.pk12 -n server-cert -d /etc/dirsrv/slapd-instance/
Enter Password or Pin for "NSS Certificate DB":
Enter password for PKCS12 file: 
Re-enter password: 
pk12util: PKCS12 EXPORT SUCCESSFUL
    Directory Server のキーストアパスワードを入力します。オプションで、プロンプトが表示されたら、一時的にエクスポートされたファイルの新しいパスワードを入力します。
  5. 秘密鍵および証明書を管理サーバーの PKI データベースにインポートします。 
    # pk12util -i /tmp/keys.pk12 -d /etc/dirsrv/admin-serv/
Enter a password which will be used to encrypt your keys.
The password should be at least 8 characters long,
and should contain at least one non-alphabetic character.

Enter new password: 
Re-enter password: 
Enter password for PKCS12 file:
pk12util: PKCS12 IMPORT SUCCESSFUL
    pk12util は、管理サーバーのキーストアのパスワードを設定するよう要求します。事前にこのデータベースに 1 つ設定されていた場合は、代わりにこのパスワードを入力するよう求められます。前の手順でエクスポートしたファイルにパスワードを設定すると、このパスワードを入力するよう求められます。
  6. 一時的にエクスポートされたファイルを削除します。 
    # rm /tmp/keys.pk12
  7. Demo CA を信頼します。 
    # certutil -M -d /etc/dirsrv/admin-serv/ -n "Demo CA" -t CT,,
  8. Directory Server を起動します。 
    # systemctl start dirsrv@instance
  9. 管理サーバーを起動します。 
    # systemctl start dirsrv-admin