11.2.18. ドメインオプション: 証明書のサブジェクト名での IP アドレスの使用 (LDAP のみ)

ldap_uri オプション内にサーバー名の代わりに IP アドレスを使用すると、TLS/SSL 接続の失敗につながる場合があります。TLS/SSL 証明書は IP アドレスではなく、サーバー名を含んでいます。しかし、証明書の サブジェクトの別名 フィールドはサーバーの IP アドレスを含んで使用できるため、IP アドレスを使用して正しい安全な接続が許可されます。

既存の証明書を要求される証明書に変更します。署名済みのキー (-signkey) とは、証明書を発行した本来の CA 発行者のキーです。これが外部の CA によって実行されていた場合、個別の PEM ファイルが必要になります。証明書が自己署名型の場合、それが証明書そのものです。例えば:
```
openssl x509 -x509toreq -in old_cert.pem -out req.pem -signkey key.pem
```
自己署名証明書の使用:
```
openssl x509 -x509toreq -in old_cert.pem -out req.pem -signkey old_cert.pem
```
/etc/pki/tls/openssl.cnf 設定ファイルを編集して、[ v3_ca ] セクションの下にサーバーの IP アドレスを含めてます。
```
subjectAltName = IP:10.0.0.10
```
生成された証明書要求を使用して、指定した IP アドレスを持つ新規の自己署名証明書を生成します:
```
openssl x509 -req -in req.pem -out new_cert.pem -extfile ./openssl.cnf -extensions v3_ca -signkey old_cert.pem
```
-extensions オプションは証明書で使用する拡張子をセットします。これには、適切なセクションをロードする v3_ca となる必要があります。
old_cert.pem ファイルのプライベートキーブロックを new_cert.pem ファイルにコピーして、すべての関連情報を１つのファイルに保管します。

nss-utils パッケージで提供される certutil ユーティリティを介して証明書を作成する時、certutil は、証明書作成の目的のみで DNS サブジェクトの別名をサポートすることに注意してください。

Where did the comment section go?

Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

JBoss Development and Management

JBoss Integration and Automation

Mobile

Services

Tools

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

Red Hat Training

11.2.18. ドメインオプション: 証明書のサブジェクト名での IP アドレスの使用 (LDAP のみ)

Where did the comment section go?