= Name Constraintsを設定した認証局の作成 =
参考文献
 * [[http://ssl-pki.seesaa.net/article/116179953.html|SSL? 証明書? PKI? それっておいしいの?: RFC 5280 の 4.2.1.10. Name Constraints]]
 * [[http://www.openssl.org/docs/apps/x509v3_config.html#Name_Constraints|OpenSSL#Name_Constraints]]
 * [[http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name_|OpenSSL#Subject Alternative Name.]]

[[http://www.bugbearr.jp/?FreeBSD%2FOpenSSL%2F%E3%82%AA%E3%83%AC%E3%82%AA%E3%83%AC%E8%AA%8D%E8%A8%BC%E5%B1%80|FreeBSD/OpenSSL/オレオレ認証局 - BugbearR's Wiki]]
の手順を元に(`ca_cert`ではなく`v3_ca`を使用して)CAを作成する際に、発行できる証明書をMMAドメイン以下のものに限定した。
`[ v3_ca ]`に次の設定を追加して`./CA.sh -newca`を実行。
{{{
[ v3_ca ]
...
nameConstraints=permitted;DNS:mma.club.uec.ac.jp,permitted;DNS:mma.gr.jp
}}}
完成した証明書情報
{{{
            X509v3 Name Constraints: 
                Permitted:
                  DNS:mma.club.uec.ac.jp
                  DNS:mma.gr.jp
}}}

これで正しいか未確認 -> 駄目だった

= jailのsource address matchingが動いていない件 =
NATでワークアラウンド・・・だと・・・