![[PukiWiki]](image/pukiwiki2.png "[PukiWiki]")
OpenLDAP活用術 - 認証局の構築
http://www.aineas.net/pukiwiki/index.php?OpenLDAP%B3%E8%CD%D1%BD%D1%20-%20%C7%A7%BE%DA%B6%C9%A4%CE%B9%BD%C3%DB このドキュメントはドラフト版です。予告無く内容が修正されたり、内容が間違っていたりすることがあります。あしからず!
また、間違い箇所を見つけたら、ご連絡いただけると幸いです。
認証局の構築 †
SSLによる暗号化でLDAPシステムの通信回りをより安全にします。
ここでは独自認証局を構築し、それを使用したシステムについて記述を行っていますが、もちろん信頼できる第三者機関の証明書を使用した方が良いに越したことはありません。
- システム情報
- 認証局サーバ
ホスト名 root.aineas.net
- 認証局サーバ
パッケージのインストール †
次のパッケージを事前にインストールしてください。
- openssl
- openssl-devel
- openssl-perl
この他にも、必要なパッケージが有る場合は随時インストールしてください。
必ずしも環境が同じとはいえません。
既存認証局の削除 †
インストール時に作成されている既存の認証局を削除します。
Exec
# cd /usr/share/ssl
そこでdemoCAディレクトリがあれば、これを削除してください。
Exec
# rm -rf demoCA
有効期限延長用の設定 †
misc/CA.plを利用して新しい認証局の証明書を作成しますが、
このスクリプトで作成される証明書の有効期限はデフォルトで365日となっています。
これでは、ここで署名したすべての証明書は1年後に失効してしまうことになりますので、
これを避けるために有効期間を少々延ばして10年とします。
また、CAのディレクトリ名がdemoCAではかっこ悪いので、CAに変更します。(ここは好みの問題)
Edit
$DAYS="-days 3650"; $CATOP="./CA";
また、この修正を行ったら、openssl.cnfのdirの値も以下のように「./CA」へ修正が必要です。
Edit
dir = ./CA
新規認証局の作成 †
新しい認証局を以下のスクリプトを実行して作成します。
Exec
# misc/CA.pl -newca
すると、対話式で設定が進んでいきます。
まずは上位認証局の指定ですが、今回の場合このサーバをルートCAとするため空白のままです。
CA certificate filename (or enter to create)
次いで、CAのパスフレーズを求められますので、好きなパスフレーズを入力してください。
Making CA certificate ... Generating a 1024 bit RSA private key ..........................++++++ .++++++ writing new private key to '/usr/share/ssl/CA/private/cakey.pem' Enter PEM pass phrase:←パスフレーズを入力 Verifying - Enter PEM pass phrase:←パスフレーズを再入力
認証局情報の入力 †
認証局情報を次のように入力します。これは環境に合わせてください。
| 情報 | 値 |
| 国名(Country Name) | JP |
| 都道府県(State or Province Name) | Fukuoka |
| 市区町村(Locality Name) | Fukuoka |
| 組織名(Organization Name) | Aineas Net |
| 部署名(Organizational Unit Name) | |
| 名前(Common Name) | Aineas Net Root |
| メールアドレス(Email Address) | なし |
Country Name (2 letter code) [AU]:JP State or Province Name (full name) [Some-State]:Fukuoka Locality Name (eg, city) []:Fukuoka Organization Name (eg, company) [Internet Widgits Pty Ltd]:Aineas Net Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []:Aineas Net Root Email Address []:
これで『CA』という認証局ができました。
ところで、ここで作成されたCA以下のprivateディレクトリですが、ディレクトリのパーミッションが755になっています。
これでは一般ユーザからも中身が閲覧可能ですので、パーミッションを 700に変更しておいた方が良さそうです。
Exec
# chmod 700 ./CA/private
バイナリ形式のCA証明書の生成 †
今回の一連の流れで作成される証明書は、所詮どこの馬の骨とも知れぬ野良証明書ですから、これを使用した場合、クライアントアプリケーションが警告を発することがあります。
クライアントアプリケーションにCA証明書をインストールすれば、この警告を回避できる場合もあります。この時、Windowsではバイナリ形式のCA証明書が要求されます。
そこで、以下のようにして、バイナリ形式のCA証明書を生成しておきます。
# openssl x509 -in /usr/share/ssl/CA/cacert.pem -outform DER -out /usr/share/ssl/CA/cacert.der
その時がきたら、生成したファイルをブラウザやメールソフトにインストールしてください。(積極的にススメられる方法ではないのでしょうけど…)
認証局ができたら、次はLDAPサーバの構築(OpenLDAP活用術 - LDAPサーバ構築)に入ります。
コメント:
Return to OpenLDAP活用術
