Powershellでマルチドメイン自己証明書を作成する ~ActiveDirectoryのLDAPS(LDAP over TLS/SSL)を実現する~

★★★ Live配信告知 ★★★

Azureでクラウドネイティブな開発をするための方法について、世界一わかりみ深く説明致します!!複数回シリーズでお届けしている第7回目は、「どんと来いDocker」をテーマに、なかなかにわかりにくいDockerの概念を優しく紐解きます!!
【2021/10/28(木) 12:00〜13:00】

こんにちは、サイオステクノロジーの小川です。

今回はPowershellでマルチドメインに対応した自己証明書を作成し、Active DirectoryのLDAPS接続を実現する設定方法を紹介します。

以前にPowershellで自己証明書を作成る方法についても紹介していますが、今回はマルチドメインに対応した設定方法について紹介します。

今回はAD2台に対してマルチドメイン証明書を設定し、ADへLDAPS接続を行えるようにします。

 

AD1での設定

Powershellの証明書作成は、New-SelfSignedCertificateコマンドを実行します。

マルチドメイン証明書を作成するにはDnsNameオプションでカンマ区切りで必要なDNS名を設定します。(DnsNameに複数設定し、Subjectにコンピュータ名を指定していた場合、Subjectの値は証明書のDNS名としては無視されます。)

以下コマンドは証明書を作成する際のオプション例です。オプションの詳細は以下の表を参照してください。

証明書作成のオプション

オプション 説明
-Subject 証明書のサブジェクト名を指定
-DnsName 証明書のサブジェクト代替名に設定するDNS名を指定
-CertStoreLocation 証明書を保存する証明書ストアを指定する
-KeyAlgorithm 証明書の秘密鍵の暗号化アルゴリズムを指定
-KeyLength 証明書のキーの長さを指定
-KeyExportPolicy 証明書の秘密鍵をエクスポートするかどうか  暗号化しない場合はExportable、エクスポートを許可しない場合はNonExportableを指定する
-NotAfter 証明書の有効期限を設定 デフォルトは1年

より詳細なオプションについてはこちらを参照してください。

コマンドを実行すると、作成された秘密鍵を含んだ証明書がローカルコンピュータの証明書ストアに格納されます。

証明書が格納されたことを確認するにはスタートボタンを右クリックし、「ファイル名を指定して実行」で「certlm.msc」と入力し、個人の証明書ストアを表示します。

サブジェクト代替名に複数のAD1とAD2のDNS名が設定されていることが確認できます。

作成した自己証明書を信頼してあげないと、実際にSSL通信を行うことができないので、信頼されたルート証明機関に格納します。

先ほど格納した秘密鍵付き証明書から、証明書のみを以下コマンドでエクスポートします。

エクスポートした証明書を以下コマンドを実行し、信頼されたルート証明機関に格納します。

他のサーバに秘密鍵をインポートするために秘密鍵付き証明書をpfx形式でエクスポートします。

出力したpfxファイルとcerファイルをad2へコピーします

 

AD2の設定

AD2の適当なフォルダにpfxファイルとcerファイルを配置します。

Powershellで証明書をインポートします。(証明書を配置したフォルダをカレントディレクトリとします。)

cerファイルをAD1同様信頼できるルート証明機関にインポートします。

pfxファイルを以下のコマンドを実行し、個人の証明書ストアにインポートします。パスワードはAD1でpfxファイルをエクスポートした際に設定したパスワードを入力します。

 

クライアントの設定

ADへLDAPS接続を行うクライアントにて証明書をインポートします。(証明書を配置したフォルダをカレントディレクトリとします。)

Powershellの以下コマンドでcerファイルを信頼できるルート証明機関にインポートします。

 

番外編

上記で紹介したコマンドをまとめてスクリプトを以下に作成しました。以下スクリプトを実行すると、証明書をストアに格納するまで行います。

  • マルチドメイン証明書作成スクリプト(例)

  • 証明書インストールスクリプト(例)

上記スクリプトで証明書を作成した後、別サーバに証明書を配置し、ローカルの証明書ストアに格納するスクリプトになります。

※ cerファイルとpfxファイルをC:\tmp フォルダに配置していることを想定しています。





ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!



>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!


ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。

Be the first to comment

Leave a Reply

Your email address will not be published.


*