Windows Server 2012 R2のActive Directory DSに内部CAの証明書を入れてLDAP over SSLの設定をする

Windows ServerでActive Directory Domain Contoller(以降AD DC)を構築した場合、最初から389番ポート経由でLDAP通信が行えるのだが、このままだと暗号化されていない(Active Directoryとして通信した場合はその手前で暗号化されているので問題ない)。パケットキャプチャでLDAPのパスワードとかが丸見えになるので、これはよろしくない。で、AD DCの場合だと最初からLDAPS(LDAP over SSL:636)がオープンになっているため、クライアント側でCA証明書がインポートされていれば、あとはドメインコントローラー側にサーバ証明書をインポートしてやればLDAPSでの通信が行えるようになる。

インポートは簡単で、秘密鍵+証明書のセットで.pfxファイルを作成(至極当たり前の話なのだが、インポート後にちゃんと秘密鍵とセットであることを確認すること)した後、mmcを起動して[スナップインの追加と削除]から証明書の[サービス]を選択し、[Active Directory Domain Service]を選択する。

Sponsored Links

後は、「NTDS\個人」に対象の証明書をインポートしてやれば、LDAPSでの通信が行えるようになる。
特にサービスの再起動などはいらないようだ。

 

【参考】

 


Written by blacknon

インフラ系のSE。一時期はプログラマ。 仮想化とオープンソースに興味あり。一日中寝てたい今日このごろ。 スペインとかで働きたいなぁ…(シエスタがあるので)

Leave a Comment

メールアドレスが公開されることはありません。

*