none
ActiveDirectoryへのLDAPS接続について RRS feed

  • 質問

  • お世話になります。


    Windows Server 2008R2で構成されたActiveDirectoryに対してLDAPSでの接続をさせようとしています。

    お手間なのですが、以下、確認させていただけますでしょうか。

    【利用する証明書テンプレートについて】

    ADへのLDAPS接続のために用いられる証明書は「ドメインコントローラ用のテンプレート」で作成された証明書で

    あると認識しておりますが、あっているでしょうか。

    【期間について】

    上記認識があってる場合、証明書の有効期間が1年となっております。

    該当の証明書をアプリケーションに組み込み、利用するため、少なくとも5年以上に有効期間を延ばしたいのですが、

    可能でしょうか。

    お手間をおかけするのですが、ご確認の程宜しくお願いいたします。

    以上です。



    • 編集済み 佐伯玲 2013年7月1日 1:02 個人情報を削除させていただきました。
    2013年6月28日 12:53

回答

  • チャブーンです。

    ドメインコントローラでのLSAPSのサーバ証明書には、確かにDomain Controller証明書が使われていますが、期限変更を前提とした修正が必要な場合、この証明書テンプレートに手を加えることはやめたほうがいいでしょう(そもそもできなかったかもしれませんし)。

    このような場合、LDAPS用の専用証明書を用意し、Domain Contorller証明書とは分けて運用する方法があるように思います。[Kerberos Authentication]テンプレートを複製して、新しい専用証明書テンプレートを用意し、ここで5年等の期限を設定してみてはどうでしょうか?この証明書テンプレートを証明機関に発行させるようにすれば、証明書が得られます。あとは証明書スナップインの[サービスアカウント]でAD DSを選んで、個人ストアに配置すればいいのでは。したのページに情報がありますね。LADPS用証明書には、[サーバー認証]目的が設定されている必要があることに注意してください。

    http://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx

    あと、LDAPSクライアント側で配付が必要なのはルート証明書であって、この証明書の配布は必要ないと思いますよ。自己証明書的に秘密鍵つきの証明書を配布した場合、セキュリティリスクが大幅に増大しますので、これはお奨めしません。

    追記:

    この設定ですが、証明書テンプレートの有効期限を5年等に設定しても、そのままで2年以上の期限設定はできません。レジストリValidityPeriodUnitsレジストリを変更する必要があります。くわしくはしたのページをご覧ください。

    http://support.microsoft.com/kb/254632/ja
    http://technet.microsoft.com/en-us/library/cc962064.aspx




    2013年7月4日 2:34
    モデレータ

すべての返信

  • こんにちは、DOMYBEST さん
    フォーラムオペレータの佐伯 玲 です。

    TechNet フォーラムは一般公開されていてどなたでも閲覧出来るフォーラムとなっておりますため、ご投稿内の個人情報を私の方で削除させて頂きました。

    引き続きこちらのスレッドをご活用くださいませ。


    宜しくお願い致します。
    __________________________
    日本マイクロソフト株式会社 フォーラム オペレータ 佐伯 玲
    2013年7月1日 1:03
  • チャブーンです。

    ドメインコントローラでのLSAPSのサーバ証明書には、確かにDomain Controller証明書が使われていますが、期限変更を前提とした修正が必要な場合、この証明書テンプレートに手を加えることはやめたほうがいいでしょう(そもそもできなかったかもしれませんし)。

    このような場合、LDAPS用の専用証明書を用意し、Domain Contorller証明書とは分けて運用する方法があるように思います。[Kerberos Authentication]テンプレートを複製して、新しい専用証明書テンプレートを用意し、ここで5年等の期限を設定してみてはどうでしょうか?この証明書テンプレートを証明機関に発行させるようにすれば、証明書が得られます。あとは証明書スナップインの[サービスアカウント]でAD DSを選んで、個人ストアに配置すればいいのでは。したのページに情報がありますね。LADPS用証明書には、[サーバー認証]目的が設定されている必要があることに注意してください。

    http://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx

    あと、LDAPSクライアント側で配付が必要なのはルート証明書であって、この証明書の配布は必要ないと思いますよ。自己証明書的に秘密鍵つきの証明書を配布した場合、セキュリティリスクが大幅に増大しますので、これはお奨めしません。

    追記:

    この設定ですが、証明書テンプレートの有効期限を5年等に設定しても、そのままで2年以上の期限設定はできません。レジストリValidityPeriodUnitsレジストリを変更する必要があります。くわしくはしたのページをご覧ください。

    http://support.microsoft.com/kb/254632/ja
    http://technet.microsoft.com/en-us/library/cc962064.aspx




    2013年7月4日 2:34
    モデレータ
  • こんにちは、DOMYBEST さん
    フォーラムオペレータの佐伯 玲 です。

    チャブーン さんから寄せられている情報はご確認いただけておりますでしょうか?
    私の方でご参考になる情報だと思いましたので勝手ながら「回答としてマーク」とさせて頂きました。

    疑問が解消しきれなかった場合等には引き続きこちらのスレッドをご活用くださいませ。

    宜しくお願いいたします。
    __________________________
    日本マイクロソフト株式会社 フォーラム オペレータ 佐伯 玲
    2013年7月16日 7:23