Active Directory を LDAPS に対応させる

windowsserver

ssl

ldap

Active Directory ドメインサービス (AD DS) は単純にサーバをセットアップしただけでは証明書がないので LDAPS が使えません。
通常の AD 運用においてはこれでも特に問題ないのですが、一部の作業（パスワードの変更など）は LDAPS 経由でないと行えないことがあります。

† OpenSSL で証明書が作りたい！

証明書の作成は Windows 上で行うことが一般的なのかもしれませんが、今回は以下の手順を参考に OpenSSL で証明書を生成してみました。

How to enable LDAP over SSL with a third-party certification authority

基本的には手順通りなのですが、ハマりやすいポイントとしては証明書が以下の条件を満たす必要があることです。

サーバの FQDN や IP アドレスが Common Name や SAN に設定されていること
拡張キー使用法（Extended Key Usage）にサーバー認証 (1.3.6.1.5.5.7.3.1) が含まれていること
証明書が信頼されていること

これを満たすように OpenSSL を使って証明書を作ると以下のような感じになります。

# キーと証明書の生成
openssl req \
  -new \
  -newkey rsa:2048 \
  -days 3650 \
  -sha256 \
  -nodes \
  -x509 \
  -subj "/CN=domain.example.com" \
  -extensions SAN \
  -config <( cat /etc/ssl/openssl.cnf <(printf "[SAN]\nextendedKeyUsage=1.3.6.1.5.5.7.3.1\nsubjectAltName=\
   'DNS:adserver1.domain.example.com,\
    DNS:adserver2.domain.example.com,\
    DNS:10.10.10.10,\
    DNS:10.10.10.11'\
   ")) \
  -keyout adserver.pem \
  -out adserver.pem

# インポート時のパスワードの設定を求められるので、パスワードを２回入力する
cat adserver.pem | openssl pkcs12 -export -out adserver.p12 -name "adserver key"

あとは MMC スナップインから証明書を「個人\証明書」と「信頼された証明書\証明書」にインポートするだけです。
作業が完了したらサービスから Active Directory Domain Service を再起動すれば反映されます。

最後にDOS 窓から LDAPS のポートが開いてるか確認をして、ldp.exe を使って SSL 接続してみれば動作確認もできます。