1.4. Web コンソールを使用した Directory Server への TLS 暗号化接続の有効化

手順

1. Server → Security → Certificate Management → Certificate Signing Request に移動し、Create Certificate Signing Request をクリックします。

2. 証明書署名要求 (CSR)、共通名 (CN)、および組織 (O) の名前を設定します。

   

   ホストに複数の名前でアクセスできる場合は、Subject Alternative Names フィールドに代替名を設定します。

3. Create Certificate Signing Request をクリックします。

4. CSR テキストを表示し、これをコピーします。

   1. 表示する CSR の Node options アイコンをクリックして、View CSR を選択します。
   2. CSR コンテンツをコピーします。
5. 認証局 (CA) に CSR ファイルを送信し、発行した証明書を取得します。詳細は、CA のドキュメントを参照してください。
6. CA から証明書を取得したら、Server → Security → Certificate Management → TLS Certificates に移動し、Add Server Certificate をクリックします。

7. サーバー証明書に一意のニックネームを設定し、発行された証明書をアップロードし、Add Certificate をクリックします。

   後のステップには証明書のニックネームが必要であるため、証明書のニックネームを覚えておいてください。

8. Server → Security → Certificate Management → Trusted Certificate Authorities に移動し、Add CA Certificate をクリックします。
9. CA 証明書に一意のニックネームを設定し、CA 証明書ファイルをアップロードし、Add Certificate をクリックします。

10. オプション：Directory Server インスタンスのインストール時に TLS 暗号化を有効にしなかった場合は、有効にします。

    1. Server → Security Settings に移動し、セキュリティースイッチを有効にします。
    2. ポップアップウィンドウで、Enable Security をクリックします。
    3. Security Setting ページで Save Configuration をクリックします。

11. Security Configuration ページで Server Certificate Name を設定します。

    1. Server → Security → Security Configuration の順に移動します。
    2. Server Certificate Name ドロップダウンリストでサーバー証明書のニックネームを選択し、Save Configuration をクリックします。
    3. オプション: ドロップダウンリストに証明書のニックネームが表示されない場合は、Security Settings ページを更新して、前の手順を再度実行します。
12. オプション: 636 以外の LDAPS ポートを使用する場合は、Server → Server Settings に移動し、LDAPS ポートを設定して、Save をクリックします。

13. firewalld サービスで LDAPS ポートを開きます。

    # firewall-cmd --permanent --add-port=636/tcp
    # firewall-cmd --reload

14. オプション: Server → Security Security → Configuration に移動し、Require Secure Connections チェックボックスを選択し、Save Configuration をクリックします。

    Directory Server は、プレーンテキストの LDAP ポートを無効にします。

15. 右上隅の Actions をクリックし、Restart Instance を選択します。