[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00940] UPKI project transition for LDAP client



土屋です.

皆様のところでは,UPKI の証明書切替は順調に進行しているのでしょうか.
私のところでは,手探りで動作検証をやりながら実施しているのですが,かなり
面倒で参っています.

それで,私のところでは,LDAP サーバのサーバ証明書にも旧 UPKI 発行のサー
バ証明書を使っていたのですが,

ssl yes
tls_recert hard
tls_cacertfile /etc/somewhere/nii-odca2.cer

というような設定(/etc/nslcd.conf や /etc/pam-ldap.conf など)で,SSL の証
明書のチェーンを辿らずに,直接に中間 CA 証明書を指定してチェックさせると
いう設定をしていましたが,今回は,これがネックになりました.

この設定では,LDAP サーバ側のサーバ証明書を旧 → 新で更新した瞬間に,必
要な中間 CA 証明書が変わってしまって,LDAP 認証でログインできなくなって
しまいます.そのため,LDAP のクライアントとサーバを一斉に設定切り替えし
なければならないことになるのですが,台数的にそれは非現実的でした.つまり,
なんとかして,一斉に設定切換するのではなく,個別に少しずつ設定を切り替え
る手順が必要になったということです.

試行錯誤したところ,必要な Root CA 証明書と中間 CA 証明書を全てまとめた
ファイルを作って tls_cacertfile に指定すればなんとか動くようです.

(1) 旧 UPKI プロジェクトで使われていた Root CA 証明書(SCRoot1ca.cer)を,
    https://repository.secomtrust.net/SC-Root1/index.html からダウンロー
    ドする.

(2) 新 UPKI プロジェクトで使われている Root CA 証明書(SCRoot2ca.cer)を,
    https://repository.secomtrust.net/SC-Root2/index.html からダウンロー
    ドする.

(3) Root CA 証明書の形式を DER 形式から PEM 形式に変換する.

openssl x509 -in SCRoot1ca.cer -inform der -out SCRoot1ca.pem
openssl x509 -in SCRoot2ca.cer -inform der -out SCRoot2ca.pem

(4) 旧 UPKI プロジェクトで使われていた中間 CA 証明書(nii-odca2.crt)を
    https://repo1.secomtrust.net/sppca/nii/odca2/ からダウンロードする.

(5) 新 UPKI プロジェクトで使われている中間 CA 証明書(nii-odca3sha2.cer)
    を,https://repo1.secomtrust.net/sppca/nii/odca3/index.html からダウ
    ンロードする.

(6) 全てを連結する.

cat SCRoot1ca.pem SCRoot2ca.pem nii-odca2.crt nii-odca3sha2.cer > /etc/somewhere/upki.pem

(7) /etc/nslcd.conf または /etc/pam-ldap.conf を以下のように書き換えて,
    連結した証明書を使うようにする.

ssl yes
tls_recert hard
tls_cacertfile /etc/somewhere/upki.pem

本学の切替もまだ完了していないので,模擬環境で動作試験してみただけなので
すが,少なくとも模擬環境では動いているように見えています.

見落としなどありましたら,ご指摘お願いします.

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )