サーバ動作事例集

下記の他に,情報交換メーリングリストの過去ログにも情報がある場合がございますのでご参照ください。


製品名バージョン動作結果特記事項関連URL機関名(任意)
Nginx 下記コメント参照 
NetAttest EPS ○ 
GUIから、申請に使用可能なCSRを発行可能 
 株式会社ソリトンシステムズ 
 Apache 2.4.8~サーバ証明書と中間証明書の
結合により使用可能。下記コメント参照
  
 OpenLDAP2.4~
 ○ 下記コメント参照  
 

Nginx

Apache版の2-5-1までは同じ

以後,以下の手順でインストールしてください。

  1. 中間証明書のインストール
    Nginxでは中間証明書だけをインストールすることができません。
    次のコマンドで,中間証明書をサーバ証明書に結合することで,認証済みのサーバ証明書を作成します。
      署名アルゴリズムSHA1のサーバ証明書を利用する場合
      # cat server.crt odcag3 > server.chained.crt


      署名アルゴリズムSHA2のサーバ証明書を利用する場合
      # cat server.crt odcag4 > server.chained.crt

  2. サーバ証明書のインストール
    マニュアル2-3-1で作成した鍵ペア,および前項で作成した認証済みのサーバ証明書を,所定のディレクトリに配置する。
      配置場所:/etc/pki/tls/private
      # mv /etc/httpd/conf/ssl.key/servername.key /etc/pki/tls/private
      # mv server.chained.crt /etc/pki/tls/certs

  3. Nginxの設定変更
    /etc/nginx/sites-available/ 以下にある設定ファイルに,SSLを利用するための設定と,ファイルの場所の設定を追加する。

    server {
    listen 443 ssl;
    server_name.nii.ac.jp;
    ssl_certificate /etc/pki/tls/certs/server.chained.cer;
    ssl_certificate_key /etc/pki/tls/private/servername.key;
    ...
    }

  4. サーバ証明書の置き換えインストール(※作業対象でないため未確認)

  5. 起動確認
    インストール証明書によるSSL通信に問題がないか確認する。
    1: Nginxの設定ファイルを検証する
      > /etc/init.d/nginc configtest

    2:Nginxに設定ファイルを適用する。
      > /usr/sbin/nginx -s reload #すでに起動している場合
      > /usr/sbin/nginx       #停止している場合
 

Apache 2.4.8以降

Apache 2.4.8以降では、設定ファイルで中間CA証明書を指定する SSLCertificateChainFile
ディレクティブが廃止されました。
そのため、サーバ証明書と中間CA証明書を一つのファイルにまとめてサーバ証明書を指定する SSLCertificateFile ディレクティブで指定します。

証明書ファイル結合(サーバ証明書+中間証明書の順で記載)
内容:
-----BEGIN CERTIFICATE-----
中略(サーバ証明書の内容を記載)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
中略(中間証明書の内容を記載)
-----END CERTIFICATE-----

結合ファイルを適当な名前で保存します。
例) COMBINED_CERT_FILE.cer

Apache設定ファイル(CentOS標準の場合:/etc/httpd/conf.d/ssl.conf)
内容(該当箇所のみ抜粋):
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCertificateFile /etc/pki/tls/certs/COMBINED_CERT_FILE.cer
SSLCertificateKeyFile /etc/pki/tls/certs/server.key
 

OpenLDAP

学認技術ガイドの「OpenLDAPの設定(IdPv3)」の手順でOpenLDAPを設定していると仮定して、証明書の設定を行う手順は下記の通りです。

0. 証明書と秘密鍵は下記にあるものとする。

   :証明書: /etc/pki/tls/certs/ldap.example.ac.jp.cer
   :秘密鍵: /etc/pki/tls/private/ldap.example.ac.jp.key

1. ユーザ ldapで秘密鍵が参照できるようにする。

   # setfacl -m group:ldap:r /etc/pki/tls/private/ldap.example.ac.jp.key

2. 下記を記述した tls.ldifを作成する。

   ----- ----- ----- ----- ここから ----- ----- ----- -----
   dn: cn=config
   changetype: modify
   replace: olcTLSCACertificateFile
   olcTLSCACertificateFile: /etc/pki/tls/certs/nii-odca3sha2.cer
   -
   replace: olcTLSCertificateFile
   olcTLSCertificateFile: /etc/pki/tls/certs/ldap.example.ac.jp.cer
   -
   replace: olcTLSCertificateKeyFile
   olcTLSCertificateKeyFile: /etc/pki/tls/private/ldap.example.ac.jp.key
   ----- ----- ----- ----- ここまで ----- ----- ----- -----

3. 2で作成したファイルでLDAPに変更をかける。

   # ldapadd -Y EXTERNAL -H ldapi:// -f tls.ldif

4. /etc/sysconfig/slapdでLDAPS接続を許可

   -SLAPD_URLS="ldapi:/// ldap:///"
   +SLAPD_URLS="ldapi:/// ldap:/// ldaps:///"

5. # systemctl restart slapd