Windows Server 2012 R2 上で動いているドメイン機能レベル・フォレスト機能レベルがWindows Server 2012の
ドメインコントローラーにLDAPS接続をしようと試みています。
現在、Webの情報などを参考に下記の内容で実施しているのですが、うまくいきません。
ドメインサーバーの(Activedirectory Domain Service)\NTDS\個人\証明書 に
別のLinuxサーバー上にOpenSSLで構築した自己CA(CNがドメイン名のCA)で下記リクエスト情報を基に作ったCSRで
サーバー証明書を作成して配置したのですが、ローカルサーバー上でも下記のようなエラーがでてLDAPSが有効にできません。
ld = ldap_sslinit("srv03.ドメイン名", 636, 1);
Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3);
Error 81 = ldap_connect(hLdap, NULL);
Server error: <empty>
Error <0x51>: Fail to connect to srv03.ドメイン名.
;----------------- request.inf -----------------
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "C=JP,ST=Tokyo,L=〇〇,OU=System Administrator,O=〇〇,CN=srv03.ドメイン名"
;
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication
[RequestAttributes]
HashAlgorithm = SHA256
------------------------------------------------------------------------------
有効期間はテスト用途なのでざっくり100年先(2117年)、
OpenSSLで作ったCAルート証明書は「エンタープライズの信頼」と「信頼されたルート証明書機関」の両方に配置しています。
このCAの有効期限も100年先(2117年)です。
署名アルゴリズム:Sha256RSA
署名ハッシュアルゴリズム:Sha256
拇印アルゴリズム:sha1
なにか特殊な仕様があるのか、Windows Serverの認証局で作った証明書でないと使えないのかなど
情報があればご教授いただけないでしょうか。
