Active DirectoryのLDAPS接続を自己証明書で設定する

★★★ Live配信告知 ★★★

Azureでクラウドネイティブな開発をするための方法について、世界一わかりみ深く説明致します!!複数回シリーズでお届けしている第7回目は、「どんと来いDocker」をテーマに、なかなかにわかりにくいDockerの概念を優しく紐解きます!!
【2021/10/28(木) 12:00〜13:00】

こんにちは。サイオステクノロジーの小川です。
今回は、自己証明書でActive DirectoryでLDAPS接続を行う設定方法を紹介します。
サードパーティが発行する証明書での設定方法についてはこちらを参照下さい。

証明書の作成

今回自己証明書はOpensslを利用して作成します。

秘密鍵の作成

証明書署名要求の作成
証明書のCommon NameはActive DirectoryのサーバFQDNを入力します。

サーバ証明書の作成
今回は有効期限10年で作成します。

pfxファイルのエクスポート

証明書のインポート

証明書の作成で作成したpfxとcrtの証明書ファイルを対象のADの適当なディレクトリに配置します(ここではC:\certsとします。)
スタートボタンから「ファイル名を指定して実行」でcertlm.mscを入力し、証明書管理ツールを開きます。

証明書管理ツールを開いたら個人の証明書でpfxファイルをインポートします。

証明書のインポートウィザードが開くので「次へ」を選択します。

インポートするpfxファイルを選択します。

pfxファイルのパスワードを入力して「次へ」を選択します。

証明書を配置する証明書をストアが「個人」であることを確認し、次へを選択します。

インポート完了画面で「完了」を選択します。

問題なくインポートされると、下記ウィンドウが表示されます。

個人ストアに自己証明書の公開鍵と秘密鍵がインポートされます。

自己証明書の信頼

次に、自己証明書を信頼します。信頼されたルート証明機関に証明書をインポートします。(「信頼されたユーザー」に証明書をインポートしても自己証明書を信頼することが可能です。その場合は以下の信頼されたルート証明機関を信頼されたユーザーに読み替えてください。)

証明書のインポートウィザードが開くので「次へ」を選択します。

インポートするcrtファイルを選択し、「次へ」を選択します。

証明書を配置する証明書をストアが「信頼されたルート証明機関」であることを確認し、次へを選択します。

インポート完了画面で「完了」を選択します。

信頼されたルート証明書機関ストアに自己証明書の公開鍵がインポートされます。

LDAPS接続確認

スタートボタンから「ファイル名を指定して実行」でldp.exeを入力し、LDAPクライアントツールを開きます。

接続でADのFQDNとポート番号を入力し、SSLにチェックをいれ、OKを選択します。

LDAPS接続が問題なくできていることが確認できます。

外部からのLDAPS接続

Linux

LinuxサーバからLDAPS接続できることを確認します。
OpenLDAP-clientsのldapsearchコマンドで接続します。

LDAPSで接続できました!

Windows Server

ADにドメイン参加したWindows ServerからADにLDAPS接続できることを確認します。
何もせずにldp.exeでLDAPS接続を確認すると、接続に失敗します。

外部のWindows ServerからADにLDAPS接続する際には対象のクライアントで接続するADの証明書を信頼している必要があります。
なので、Windows Serverで自己証明書を信頼するルート証明機関にインポートします。(「自己証明書の信頼」を参照)

再度LDAPS接続の確認をします。

接続できました!

 





ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!



>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!


ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。

Be the first to comment

Leave a Reply

Your email address will not be published.


*