Active Directory で ldaps するのにオレオレ証明書を使いたい場合、
AD DS(Active Directory Certificate Services)で作ったやつじゃないと
うまくいかないよなどというデマを某所で聞いた。
普通にできますが… 以下 openssl でオレオレ作った場合の例。
openssl で秘密鍵とオレオレ証明書を作成して pkcs12 で結ぶ。証明書を
作るときの CN は AD ドメインコントローラの「フル コンピュータ名」に
する必要あり。
openssl req -x509 -newkey rsa:2048 -keyout my.key -out my.crt
openssl pkcs12 -export -out my.p12 -inkey my.key -in my.crt
出来た証明書ファイルと pkcs12 ファイルを AD ドメインコントローラ
にコピー。んで、AD ドメインコントローラ上で mmc なるツールを起動。
# なんすかスナップインて?
- 出てきた画面(コンソール1)で「ファイル」→「スナップインの追加と削除」
を選択。
- 「スナップインの追加と削除」画面の「利用できるスナップイン」
のリストから「証明書」して「追加」をクリック。
- 「証明書スナップイン」の画面で「コンピュータアカウント」を選択。
「次へ」クリック。
- 「ローカルコンピュータ」が選択されていることを確認の上「完了」を
クリック。
- 「スナップインの追加と削除」画面に戻るので「OK」をクリック。
- 「コンソール1」に戻るので、画面左の「証明書(ローカルコンピュータ)」
を開く。
- 開いたところの「信頼されたルート証明機関」を右クリックして「すべての
タスク」を選択して「インポート」を選択。これで openssl で作った
証明書ファイル(上記例だと my.crt)をウィザードに従いインポート。
- 今度は「個人」を右クリックして「すべてのタスク」を選択して「インポー
ト」を選択。ここで openssl で作った pkcs12 ファイル(上記例だと my.p12)
をウィザードに従いインポート。
- これでドメインコントローラマシンを再起動すれば ldaps が使えるように
なる。
しかし Windows の作業手順を説明するのってなんでこんなにダルいんだろ。
