11.2.18. ドメインオプション: 証明書のサブジェクト名での IP アドレスの使用 (LDAP のみ)

ldap_uri オプション内にサーバー名の代わりに IP アドレスを使用すると、TLS/SSL 接続の失敗につながる場合があります。TLS/SSL 証明書は IP アドレスではなく、サーバー名を含んでいます。しかし、証明書の サブジェクトの別名 フィールドはサーバーの IP アドレスを含んで使用できるため、IP アドレスを使用して正しい安全な接続が許可されます。
  1. 既存の証明書を要求される証明書に変更します。署名済みのキー (-signkey) とは、証明書を発行した本来の CA 発行者のキーです。これが外部の CA によって実行されていた場合、個別の PEM ファイルが必要になります。証明書が自己署名型の場合、それが証明書そのものです。例えば:
    openssl x509 -x509toreq -in old_cert.pem -out req.pem -signkey key.pem
    自己署名証明書の使用:
    openssl x509 -x509toreq -in old_cert.pem -out req.pem -signkey old_cert.pem
  2. /etc/pki/tls/openssl.cnf 設定ファイルを編集して、[ v3_ca ] セクションの下にサーバーの IP アドレスを含めてます。
    subjectAltName = IP:10.0.0.10
  3. 生成された証明書要求を使用して、指定した IP アドレスを持つ新規の自己署名証明書を生成します:
    openssl x509 -req -in req.pem -out new_cert.pem -extfile ./openssl.cnf -extensions v3_ca -signkey old_cert.pem
    -extensions オプションは証明書で使用する拡張子をセットします。これには、適切なセクションをロードする v3_ca となる必要があります。
  4. old_cert.pem ファイルのプライベートキーブロックを new_cert.pem ファイルにコピーして、すべての関連情報を1つのファイルに保管します。
nss-utils パッケージで提供される certutil ユーティリティを介して証明書を作成する時、certutil は、証明書作成の目的のみで DNS サブジェクトの別名をサポートすることに注意してください。