🔐
389 Directory Server で TLS1.0 TLS1.1を有効化する
はじめに
RHEL9.x系の389 Directory ServerでTLS1.0 TLS1.1を有効化した際のメモ
レガシーなセキュリティプロトコルを実装するLDAPクライアントへの対応。
本来は、クライアント側のアップデートを検討すべきであるが、諸事情で対応が難しい場合の回避策(非推奨)となる。
OS全体の暗号化ポリシーを変更
ポリシーモジュールファイルの作成
bash
sudo cat <<EOF>/usr/share/crypto-policies/policies/modules/TLS1.x.pmod
protocol@TLS = TLS1.0 TLS1.1 TLS1.3 TLS1.2 DTLS1.2
EOF
システム全体の暗号化ポリシーレベル DEFAULT に適用
bash
sudo update-crypto-policies --set LEGACY:TLS1
システム再起動
bash
sudo reboot
389 Directory Server の 暗号化ポリシー変更
許可される TLS の最小バージョンを設定
bash
sudo dsconf 389ds -D "<管理者DN>" security set --tls-protocol-min="TLS1.0"
サービス再起動
bash
sudo systemctl restart dirsrv@389ds
設定確認
bash
sudo dsconf 389ds -D "<管理者DN>" security get
:
sslversionmin: TLS1.0
:
Discussion