[upki-fed:00940] UPKI project transition for LDAP client

[TSUCHIYA Masatoshi <xxxxxxxx@xxxxxxxxxxxxx>]

土屋です．

皆様のところでは，UPKI の証明書切替は順調に進行しているのでしょうか．
私のところでは，手探りで動作検証をやりながら実施しているのですが，かなり
面倒で参っています．

それで，私のところでは，LDAP サーバのサーバ証明書にも旧 UPKI 発行のサー
バ証明書を使っていたのですが，

ssl yes
tls_recert hard
tls_cacertfile /etc/somewhere/nii-odca2.cer

というような設定(/etc/nslcd.conf や /etc/pam-ldap.conf など)で，SSL の証
明書のチェーンを辿らずに，直接に中間 CA 証明書を指定してチェックさせると
いう設定をしていましたが，今回は，これがネックになりました．

この設定では，LDAP サーバ側のサーバ証明書を旧 → 新で更新した瞬間に，必
要な中間 CA 証明書が変わってしまって，LDAP 認証でログインできなくなって
しまいます．そのため，LDAP のクライアントとサーバを一斉に設定切り替えし
なければならないことになるのですが，台数的にそれは非現実的でした．つまり，
なんとかして，一斉に設定切換するのではなく，個別に少しずつ設定を切り替え
る手順が必要になったということです．

試行錯誤したところ，必要な Root CA 証明書と中間 CA 証明書を全てまとめた
ファイルを作って tls_cacertfile に指定すればなんとか動くようです．

(1) 旧 UPKI プロジェクトで使われていた Root CA 証明書(SCRoot1ca.cer)を，
    https://repository.secomtrust.net/SC-Root1/index.html からダウンロー
    ドする．

(2) 新 UPKI プロジェクトで使われている Root CA 証明書(SCRoot2ca.cer)を，
    https://repository.secomtrust.net/SC-Root2/index.html からダウンロー
    ドする．

(3) Root CA 証明書の形式を DER 形式から PEM 形式に変換する．

openssl x509 -in SCRoot1ca.cer -inform der -out SCRoot1ca.pem
openssl x509 -in SCRoot2ca.cer -inform der -out SCRoot2ca.pem

(4) 旧 UPKI プロジェクトで使われていた中間 CA 証明書(nii-odca2.crt)を
    https://repo1.secomtrust.net/sppca/nii/odca2/ からダウンロードする．

(5) 新 UPKI プロジェクトで使われている中間 CA 証明書(nii-odca3sha2.cer)
    を，https://repo1.secomtrust.net/sppca/nii/odca3/index.html からダウ
    ンロードする．

(6) 全てを連結する．

cat SCRoot1ca.pem SCRoot2ca.pem nii-odca2.crt nii-odca3sha2.cer > /etc/somewhere/upki.pem

(7) /etc/nslcd.conf または /etc/pam-ldap.conf を以下のように書き換えて，
    連結した証明書を使うようにする．

ssl yes
tls_recert hard
tls_cacertfile /etc/somewhere/upki.pem

本学の切替もまだ完了していないので，模擬環境で動作試験してみただけなので
すが，少なくとも模擬環境では動いているように見えています．

見落としなどありましたら，ご指摘お願いします．

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )