[upki-odcert:56] re: FirePass 1200 および OpenLDAP および Cisco ASA 5520 への証明書インストール方法

[xxxxxx@xxxxxxxxxxxxx]

KEK の真鍋です。　こちらは初めてです。よろしくお願いいたします。



OpenLDAPの記述について　質問させてください

> TLSCertificateFile /etc/ssl/certs/server-chain.crt
> server-chain.crtの作成：
> 
> 改行はLFのみでなければならない。
> 
> ダウンロードしたサーバ証明書は大丈夫 nii-odca2.crtはCRLF ルートもOK サ
> ーバ証明書→nii-odca2.crt→ルートの順に格納 ルートは
> /etc/ssl/certs/Security_Communication_Root_CA.pem
> にある 

と書かれてありますが、これは server-chain.crt に　
一連のサーバ証明書→nii-odca2.crt→ルートの
証明書チェーンを結合(cat)して(収納せよとの
意味でしょうか？

TLSCertificateFile には　ldapサーバーのサーバー証明書だけを収納し、 
ldap クライアント側の TLS_CACERT に SECOM のルート証明書を
おけばよいようにおもうのですが。。
一連の証明書を置かなければいけない場合はどういう場合でしょうか？

なお、クライアント側の TLS_CACERT ファイルでは、複数のCAが
必要な場合は、結合する必要があるのですが、特に結合する順番は
気にしないと思います。　また、中間証明書も不要で　ルートさえあれば
うまくできるようでした。

さらに
関連の質問をさせてください。

database　のバックエンドＤＢを ldap　にして
他の ldapsサーバーに reverse proxy する場合
slapd.conf の　TLSCACertificateFileが必要だと
おもっていたのですが、　どうしても
他のldapサーバーの証明書をちゃんとチェックしてくれません。
（TLSCACertificateFile がなくても　問題なく動作してしまう）
この場合にも証明書をきちんとチェックしてくれるようにするには
どうすればよいかご存知のかたいらっしゃいましたら
ご教授をお願いします。


よろしくお願いします。




> NIIの西村です。
> 
> サーバ証明書のインストール事例につきまして、FirePass 1200
> およびOpenLDAP、Cisco ASA 5520へのインストール方法を事例集
> に掲載しましたのでお知らせします。
> 
> お役に立ちましたら幸いです。
> 
> FirePass 1200
> https://upki-portal.nii.ac.jp/docs/odcert/report#comment-33
> 
> OpenLDAP
> https://upki-portal.nii.ac.jp/docs/odcert/report#comment-34
> 
> Cisco ASA 5520
> https://upki-portal.nii.ac.jp/docs/odcert/report
> (表の一番下に少しだけコメントを書いています)
> 
> -- 
> 西村健
> 国立情報学研究所 TEL:03-4212-2720