LinuCレベル3 300試験の例題と解説

390.2ディレクトリの保護

LinuCレベル3 300試験の出題範囲から「390.2 ディレクトリの保護」についての例題を解いてみます。
今回は、OpenLDAP の SSL/TLS 対応について取り上げます。SSL/TLS 対応の設定方法について理解しましょう。

Linucレベル3 300試験出題範囲

例題

OpenLDAP で SSL/TLS を利用したサービスを提供する際、LDAP サーバの秘密鍵ファイルを指定するための slapd.conf の設定項目として適切なものを選びなさい。

TLSCertificateFile
TLSCertificateKeyFile
TLSCACertificateFile
TLSCACertificateKeyFile

※この例題は実際の試験問題とは異なります。

解答と解説

正解は、「2. TLSCertificateKeyFile」です。

SSL/TLS を利用する際は、秘密鍵とサーバ証明書の2つが必要です。通常は、秘密鍵をサーバ上で作成し、その秘密鍵から CSR を作成して認証局 (Certificate Authorities, CA) に送付し、CA が署名したサーバ証明書を発行してもらう、という手順となります。CA に発行を依頼せず自前で署名してサーバ証明書を作成することも可能ですが、上記の手順が本来のものです。

ルート CA からの信頼の連鎖を形成するため、秘密鍵とサーバ証明書の他に、サーバ証明書を発行した CA の証明書が必要となる場合もあります。

例題の各選択肢について解説します。

１. TLSCertificateFile
不正解です。
TLSCertificateFile ではサーバ証明書ファイルを指定します。

２. TLSCertificateKeyFile
正解です。
TLSCertificateKeyFile ではサーバ証明書に対応する秘密鍵ファイルを指定します。なお OpenLDAP ではパスワードで保護された秘密鍵ファイルには対応していないため、秘密鍵ファイルのパスワード保護は解除しておく必要があります。

３. TLSCACertificateFile
不正解です。
TLSCACertificateFile ではサーバ証明書を発行した CA の証明書ファイルを指定します。

４. TLSCACertificateKeyFile
不正解です。
slapd.conf の設定項目には TLSCACertificateKeyFile というものはありません。CA の秘密鍵は、通常は入手は不可能です。

OpenLDAP の SSL/TLS 対応の設定方法を理解して、セキュアな通信の設定ができるようになりましょう。