2014年2月26日水曜日

AD でオレオレ証明書で ldaps するのに AD CS で作った証明書じゃないとダメというデマ

Active Directory で ldaps するのにオレオレ証明書を使いたい場合、
AD DS(Active Directory Certificate Services)で作ったやつじゃないと
うまくいかないよなどというデマを某所で聞いた。

普通にできますが… 以下 openssl でオレオレ作った場合の例。

openssl で秘密鍵とオレオレ証明書を作成して pkcs12 で結ぶ。証明書を
作るときの CN は AD ドメインコントローラの「フル コンピュータ名」に
する必要あり。
openssl req -x509 -newkey rsa:2048 -keyout my.key -out my.crt
openssl pkcs12 -export -out my.p12 -inkey my.key -in my.crt

出来た証明書ファイルと pkcs12 ファイルを AD ドメインコントローラ
にコピー。んで、AD ドメインコントローラ上で mmc なるツールを起動。
# なんすかスナップインて?


  1. 出てきた画面(コンソール1)で「ファイル」→「スナップインの追加と削除」
    を選択。
  2. 「スナップインの追加と削除」画面の「利用できるスナップイン」
    のリストから「証明書」して「追加」をクリック。
  3. 「証明書スナップイン」の画面で「コンピュータアカウント」を選択。
    「次へ」クリック。
  4. 「ローカルコンピュータ」が選択されていることを確認の上「完了」を
    クリック。
  5. 「スナップインの追加と削除」画面に戻るので「OK」をクリック。
  6. 「コンソール1」に戻るので、画面左の「証明書(ローカルコンピュータ)」
    を開く。
  7. 開いたところの「信頼されたルート証明機関」を右クリックして「すべての
    タスク」を選択して「インポート」を選択。これで openssl で作った
    証明書ファイル(上記例だと my.crt)をウィザードに従いインポート。
  8. 今度は「個人」を右クリックして「すべてのタスク」を選択して「インポー
    ト」を選択。ここで openssl で作った pkcs12 ファイル(上記例だと my.p12)
    をウィザードに従いインポート。
  9. これでドメインコントローラマシンを再起動すれば ldaps が使えるように
    なる。
しかし Windows の作業手順を説明するのってなんでこんなにダルいんだろ。

0 件のコメント:

コメントを投稿