Red Hat Training

A Red Hat training course is available for Red Hat Directory Server

9.3.5. 自己署名証明書の生成およびインストール

特定の状況では、管理者は、Directory Server への暗号化された接続に自己署名証明書を使用します。
注記
この操作は、コマンドラインを使用した場合のみ実行できます。
自己署名証明書を作成してインストールするには、以下を実行します。
  1. Network Security Services(NSS)データベースがすでに初期化されているかどうかを確認します。 
    # certutil -d /etc/dirsrv/slapd-instance_name -L
    コマンドが失敗した場合は、データベースを初期化します。詳細は、「Directory Server インスタンスの NSS データベースの作成」 を参照してください。
  2. ランダムなデータで関心のあるファイルを生成します。たとえば、サイズが 4096 ビットのあるファイルを生成するには、次のコマンドを実行します。 
    # openssl rand -out /tmp/noise.bin 4096
  3. 自己署名証明書を作成し、NSS データベースに追加します。 
    # certutil -S -x -d /etc/dirsrv/slapd-instance_name/ -z /tmp/noise.bin \
     -n "server-cert" -s "CN=$HOSTNAME" -t "CT,C,C" -m $RANDOM \
     --keyUsage digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment
    Red Hat Enterprise Linux は、$HOSTNAME 変数を自動的に完全修飾ドメイン名 (FQDN) に置換え、$RANDOM を無作為に生成した番号に置き換えます。先のコマンドで使用したパラメーターの詳細は、certutil(1) の man ページを参照してください。
  4. 必要に応じて、生成された証明書が自己署名されていることを確認します。 
    # certutil -L -d /etc/dirsrv/slapd-instance_name/ -n "server-cert" | egrep "Issuer|Subject"
        Issuer: "CN=server.example.com"
        Subject: "CN=server.example.com"
    このコマンドの出力には、証明書の発行者とサブジェクトの両方について Directory Server ホストの FQDN が表示されるはずです。