- blogs:
- cles::blog
2019/04/07

Active Directory を LDAPS に対応させる



Active Directory ドメイン サービス (AD DS) は単純にサーバをセットアップしただけでは証明書がないので LDAPS が使えません。
通常の AD 運用においてはこれでも特に問題ないのですが、一部の作業(パスワードの変更など)は LDAPS 経由でないと行えないことがあります。
† OpenSSL で証明書が作りたい!
証明書の作成は Windows 上で行うことが一般的なのかもしれませんが、今回は以下の手順を参考に OpenSSL で証明書を生成してみました。
基本的には手順通りなのですが、ハマりやすいポイントとしては証明書が以下の条件を満たす必要があることです。
- サーバの FQDN や IP アドレスが Common Name や SAN に設定されていること
- 拡張キー使用法(Extended Key Usage)にサーバー認証 (1.3.6.1.5.5.7.3.1) が含まれていること
- 証明書が信頼されていること
これを満たすように OpenSSL を使って証明書を作ると以下のような感じになります。
# キーと証明書の生成
openssl req \
-new \
-newkey rsa:2048 \
-days 3650 \
-sha256 \
-nodes \
-x509 \
-subj "/CN=domain.example.com" \
-extensions SAN \
-config <( cat /etc/ssl/openssl.cnf <(printf "[SAN]\nextendedKeyUsage=1.3.6.1.5.5.7.3.1\nsubjectAltName=\
'DNS:adserver1.domain.example.com,\
DNS:adserver2.domain.example.com,\
DNS:10.10.10.10,\
DNS:10.10.10.11'\
")) \
-keyout adserver.pem \
-out adserver.pem
# インポート時のパスワードの設定を求められるので、パスワードを2回入力する
cat adserver.pem | openssl pkcs12 -export -out adserver.p12 -name "adserver key"
あとは MMC スナップインから証明書を「個人\証明書」と「信頼された証明書\証明書」にインポートするだけです。
作業が完了したらサービスから Active Directory Domain Service を再起動すれば反映されます。
最後にDOS 窓から LDAPS のポートが開いてるか確認をして、ldp.exe を使って SSL 接続してみれば動作確認もできます。
netstat -na | find ":636"
トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/10881
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form
コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。
OpenID を使ってログインすることができます。
サイト内検索
検索ワードランキング
へぇが多いエントリ
閲覧数が多いエントリ
1 . Windows 10 で勝手にログアウトされないようにする(6297)
2 . これが本物の「Amazon セキュリティ警告」(5065)
3 . リモートデスクトップで Alt + PrtSc と同じことをするには(4819)
4 . 「日次」は「にちじ」じゃない?(3833)
5 . RDP のプロトコルを TCP だけに変更する(3771)
2 . これが本物の「Amazon セキュリティ警告」(5065)
3 . リモートデスクトップで Alt + PrtSc と同じことをするには(4819)
4 . 「日次」は「にちじ」じゃない?(3833)
5 . RDP のプロトコルを TCP だけに変更する(3771)
cles::blogについて
Referrers