Show Table of Contents
11.2.18. ドメインオプション: 証明書のサブジェクト名での IP アドレスの使用 (LDAP のみ)
ldap_uri
オプション内にサーバー名の代わりに IP アドレスを使用すると、TLS/SSL 接続の失敗につながる場合があります。TLS/SSL 証明書は IP アドレスではなく、サーバー名を含んでいます。しかし、証明書の サブジェクトの別名 フィールドはサーバーの IP アドレスを含んで使用できるため、IP アドレスを使用して正しい安全な接続が許可されます。
- 既存の証明書を要求される証明書に変更します。署名済みのキー (
-signkey
) とは、証明書を発行した本来の CA 発行者のキーです。これが外部の CA によって実行されていた場合、個別の PEM ファイルが必要になります。証明書が自己署名型の場合、それが証明書そのものです。例えば:openssl x509 -x509toreq -in old_cert.pem -out req.pem -signkey key.pem
自己署名証明書の使用:openssl x509 -x509toreq -in old_cert.pem -out req.pem -signkey old_cert.pem
/etc/pki/tls/openssl.cnf
設定ファイルを編集して、[ v3_ca ]
セクションの下にサーバーの IP アドレスを含めてます。subjectAltName = IP:10.0.0.10
- 生成された証明書要求を使用して、指定した IP アドレスを持つ新規の自己署名証明書を生成します:
openssl x509 -req -in req.pem -out new_cert.pem -extfile ./openssl.cnf -extensions v3_ca -signkey old_cert.pem
-extensions
オプションは証明書で使用する拡張子をセットします。これには、適切なセクションをロードする v3_ca となる必要があります。 old_cert.pem
ファイルのプライベートキーブロックをnew_cert.pem
ファイルにコピーして、すべての関連情報を1つのファイルに保管します。
nss-utils
パッケージで提供される certutil ユーティリティを介して証明書を作成する時、certutil は、証明書作成の目的のみで DNS サブジェクトの別名をサポートすることに注意してください。