この記事は過去のUPKIイニシアティブに掲載されていたものです

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-odcert:57] Re: FirePass 1200 および OpenLDAP および Cisco ASA 5520 への証明書インストール方法



KEK真鍋様
西村です。よろしくお願いします。

ご指摘ありがとうございます。
昔の記憶をたどりながら書いていますが、確かに「なんでこんな
仕様なんだろう」と思いました。
原因はUbuntuのOpenLDAPがGnuTLSライブラリにリンクしているためで、
OpenSSLにリンクしている場合と書き方が大きく異なります。
「証明書ファイルの改行はLFのみ」もGnuTLSに限った話だったと思
います。「GnuTLSにリンクしている場合こう書かないと正しく動作
しない」というのが正確なところです。

参考まで、OpenSSLの場合のslapd.confで中間CA証明書(nii-odca2.crt)
をどのように設定しているか、また他に変更点がございましたら
お教えいただけましたら追記させていただきたいと思います。

> database のバックエンドDBを ldap にして
> 他の ldapsサーバーに reverse proxy する場合
> slapd.conf の TLSCACertificateFileが必要だと
> おもっていたのですが、 どうしても
> 他のldapサーバーの証明書をちゃんとチェックしてくれません。
> (TLSCACertificateFile がなくても 問題なく動作してしまう)

完全にあてずっぽうですが、TLSVerifyClientをtryにしても
同じ状況でしょうか?
あと確認ですが、後ろのldapsサーバーはプライベート証明書を
使用しているのでしょうか?パブリックなものであれば、
TLSCACertificateFile無指定の場合にデフォルトのca-bundle.crt
が参照されている可能性もあるかと思いましたので。


(2010/11/11 13:48), xxxxxx@xxxxxxxxxxxxx wrote:
> KEK の真鍋です。 こちらは初めてです。よろしくお願いいたします。
> 
> 
> 
> OpenLDAPの記述について 質問させてください
> 
>> TLSCertificateFile /etc/ssl/certs/server-chain.crt
>> server-chain.crtの作成:
>>
>> 改行はLFのみでなければならない。
>>
>> ダウンロードしたサーバ証明書は大丈夫 nii-odca2.crtはCRLF ルートもOK サ
>> ーバ証明書→nii-odca2.crt→ルートの順に格納 ルートは
>> /etc/ssl/certs/Security_Communication_Root_CA.pem
>> にある
> 
> と書かれてありますが、これは server-chain.crt に 
> 一連のサーバ証明書→nii-odca2.crt→ルートの
> 証明書チェーンを結合(cat)して(収納せよとの
> 意味でしょうか?
> 
> TLSCertificateFile には ldapサーバーのサーバー証明書だけを収納し、
> ldap クライアント側の TLS_CACERT に SECOM のルート証明書を
> おけばよいようにおもうのですが。。
> 一連の証明書を置かなければいけない場合はどういう場合でしょうか?
> 
> なお、クライアント側の TLS_CACERT ファイルでは、複数のCAが
> 必要な場合は、結合する必要があるのですが、特に結合する順番は
> 気にしないと思います。 また、中間証明書も不要で ルートさえあれば
> うまくできるようでした。
> 
> さらに
> 関連の質問をさせてください。
> 
> database のバックエンドDBを ldap にして
> 他の ldapsサーバーに reverse proxy する場合
> slapd.conf の TLSCACertificateFileが必要だと
> おもっていたのですが、 どうしても
> 他のldapサーバーの証明書をちゃんとチェックしてくれません。
> (TLSCACertificateFile がなくても 問題なく動作してしまう)
> この場合にも証明書をきちんとチェックしてくれるようにするには
> どうすればよいかご存知のかたいらっしゃいましたら
> ご教授をお願いします。
> 
> 
> よろしくお願いします。
> 
> 
> 
> 
>> NIIの西村です。
>>
>> サーバ証明書のインストール事例につきまして、FirePass 1200
>> およびOpenLDAP、Cisco ASA 5520へのインストール方法を事例集
>> に掲載しましたのでお知らせします。
>>
>> お役に立ちましたら幸いです。
>>
>> FirePass 1200
>> https://upki-portal.nii.ac.jp/docs/odcert/report#comment-33
>>
>> OpenLDAP
>> https://upki-portal.nii.ac.jp/docs/odcert/report#comment-34
>>
>> Cisco ASA 5520
>> https://upki-portal.nii.ac.jp/docs/odcert/report
>> (表の一番下に少しだけコメントを書いています)

-- 
西村健
国立情報学研究所 TEL:03-4212-2720