[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00940] UPKI project transition for LDAP client
- Subject: [upki-fed:00940] UPKI project transition for LDAP client
- Date: Thu, 11 Jun 2015 16:11:48 +0900
- From: TSUCHIYA Masatoshi <xxxxxxxx@xxxxxxxxxxxxx>
土屋です.
皆様のところでは,UPKI の証明書切替は順調に進行しているのでしょうか.
私のところでは,手探りで動作検証をやりながら実施しているのですが,かなり
面倒で参っています.
それで,私のところでは,LDAP サーバのサーバ証明書にも旧 UPKI 発行のサー
バ証明書を使っていたのですが,
ssl yes
tls_recert hard
tls_cacertfile /etc/somewhere/nii-odca2.cer
というような設定(/etc/nslcd.conf や /etc/pam-ldap.conf など)で,SSL の証
明書のチェーンを辿らずに,直接に中間 CA 証明書を指定してチェックさせると
いう設定をしていましたが,今回は,これがネックになりました.
この設定では,LDAP サーバ側のサーバ証明書を旧 → 新で更新した瞬間に,必
要な中間 CA 証明書が変わってしまって,LDAP 認証でログインできなくなって
しまいます.そのため,LDAP のクライアントとサーバを一斉に設定切り替えし
なければならないことになるのですが,台数的にそれは非現実的でした.つまり,
なんとかして,一斉に設定切換するのではなく,個別に少しずつ設定を切り替え
る手順が必要になったということです.
試行錯誤したところ,必要な Root CA 証明書と中間 CA 証明書を全てまとめた
ファイルを作って tls_cacertfile に指定すればなんとか動くようです.
(1) 旧 UPKI プロジェクトで使われていた Root CA 証明書(SCRoot1ca.cer)を,
https://repository.secomtrust.net/SC-Root1/index.html からダウンロー
ドする.
(2) 新 UPKI プロジェクトで使われている Root CA 証明書(SCRoot2ca.cer)を,
https://repository.secomtrust.net/SC-Root2/index.html からダウンロー
ドする.
(3) Root CA 証明書の形式を DER 形式から PEM 形式に変換する.
openssl x509 -in SCRoot1ca.cer -inform der -out SCRoot1ca.pem
openssl x509 -in SCRoot2ca.cer -inform der -out SCRoot2ca.pem
(4) 旧 UPKI プロジェクトで使われていた中間 CA 証明書(nii-odca2.crt)を
https://repo1.secomtrust.net/sppca/nii/odca2/ からダウンロードする.
(5) 新 UPKI プロジェクトで使われている中間 CA 証明書(nii-odca3sha2.cer)
を,https://repo1.secomtrust.net/sppca/nii/odca3/index.html からダウ
ンロードする.
(6) 全てを連結する.
cat SCRoot1ca.pem SCRoot2ca.pem nii-odca2.crt nii-odca3sha2.cer > /etc/somewhere/upki.pem
(7) /etc/nslcd.conf または /etc/pam-ldap.conf を以下のように書き換えて,
連結した証明書を使うようにする.
ssl yes
tls_recert hard
tls_cacertfile /etc/somewhere/upki.pem
本学の切替もまだ完了していないので,模擬環境で動作試験してみただけなので
すが,少なくとも模擬環境では動いているように見えています.
見落としなどありましたら,ご指摘お願いします.
--
土屋 雅稔 ( TSUCHIYA Masatoshi )