Active DirectoryのLDAPS接続を自己証明書で設定する

◆ Live配信スケジュール ◆
サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。
⇒ 詳細スケジュールはこちらから
⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください

【4/18開催】VSCode Dev Containersで楽々開発環境構築祭り〜Python/Reactなどなど〜
Visual Studio Codeの拡張機能であるDev Containersを使ってReactとかPythonとかSpring Bootとかの開発環境をラクチンで構築する方法を紹介するイベントです。
https://tech-lab.connpass.com/event/311864/

こんにちは。サイオステクノロジーの小川です。
今回は、自己証明書でActive DirectoryでLDAPS接続を行う設定方法を紹介します。
サードパーティが発行する証明書での設定方法についてはこちらを参照下さい。

1 証明書の作成
2 証明書のインポート
3 LDAPS接続確認
4 外部からのLDAPS接続
- 4.1 Linux
- 4.2 Windows Server

証明書の作成

今回自己証明書はOpensslを利用して作成します。

秘密鍵の作成

# openssl genrsa 2048 > server.key

証明書署名要求の作成
証明書のCommon NameはActive DirectoryのサーバFQDNを入力します。

# openssl req -new -key server.key > server.csr

Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []: ad.example.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

サーバ証明書の作成
今回は有効期限10年で作成します。

# openssl x509 -days 3650 -req -signkey server.key < server.csr > server.crt

subject=C = JP, L = Default City, O = Default Company Ltd, CN = ad.example.com
Getting Private key

pfxファイルのエクスポート

# openssl pkcs12 -export -inkey server.key -in server.crt -out server.pfx

Enter Export Password:xxxxxxxx
Verifying - Enter Export Password:xxxxxxxx

証明書のインポート

証明書の作成で作成したpfxとcrtの証明書ファイルを対象のADの適当なディレクトリに配置します（ここではC:\certsとします。）
スタートボタンから「ファイル名を指定して実行」でcertlm.mscを入力し、証明書管理ツールを開きます。

証明書管理ツールを開いたら個人の証明書でpfxファイルをインポートします。

証明書のインポートウィザードが開くので「次へ」を選択します。

インポートするpfxファイルを選択します。

pfxファイルのパスワードを入力して「次へ」を選択します。

証明書を配置する証明書をストアが「個人」であることを確認し、次へを選択します。

インポート完了画面で「完了」を選択します。

問題なくインポートされると、下記ウィンドウが表示されます。

個人ストアに自己証明書の公開鍵と秘密鍵がインポートされます。

自己証明書の信頼

次に、自己証明書を信頼します。信頼されたルート証明機関に証明書をインポートします。（「信頼されたユーザー」に証明書をインポートしても自己証明書を信頼することが可能です。その場合は以下の信頼されたルート証明機関を信頼されたユーザーに読み替えてください。）

証明書のインポートウィザードが開くので「次へ」を選択します。

インポートするcrtファイルを選択し、「次へ」を選択します。

証明書を配置する証明書をストアが「信頼されたルート証明機関」であることを確認し、次へを選択します。

インポート完了画面で「完了」を選択します。

信頼されたルート証明書機関ストアに自己証明書の公開鍵がインポートされます。

LDAPS接続確認

スタートボタンから「ファイル名を指定して実行」でldp.exeを入力し、LDAPクライアントツールを開きます。

接続でADのFQDNとポート番号を入力し、SSLにチェックをいれ、OKを選択します。

LDAPS接続が問題なくできていることが確認できます。

外部からのLDAPS接続

Linux

LinuxサーバからLDAPS接続できることを確認します。
OpenLDAP-clientsのldapsearchコマンドで接続します。

# ldapsearch -x -H ldaps://ad.example.com:636 -D "CN=admin,CN=Users,DC=example,dc=com" -W -b "OU=people,DC=example,DC=com" "cn=testuser1" displayName
Enter LDAP Password:xxxxxxxx

# extended LDIF
#
# LDAPv3
# base <OU=people,DC=example,DC=com> with scope subtree
# filter: cn=testuser1
# requesting: displayName
#

# testuser1, people, example.com
dn: CN=testuser1,OU=people,DC=example,DC=com
displayName: test user1

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

LDAPSで接続できました！