サード パーティの証明機関が SSL 経由で LDAP を有効にする方法

文書翻訳 文書翻訳
文書番号: 321051
すべて展開する | すべて折りたたむ

目次

概要

ライトウェイト ディレクトリ アクセス プロトコル (LDAP) を使用してするには読み取りし、Active Directory に作成します。既定では、LDAP トラフィックのです。セキュリティ保護されていない送信します。とともに、機密情報をセキュリティで保護された LDAP のトラフィックをすることができます。セキュリティで保護されたソケット レイヤー (SSL) を使用して/トランスポート層セキュリティ (TLS) の技術。LDAP SSL (LDAPS 経由で)、正しく書式設定されたインストールして有効にします。Microsoft 証明機関 (CA) 証明書のいずれかから、または、非 Microsoft CA に、この資料のガイドラインに従って。

詳細

LDAPS を構成するためのユーザー インターフェイスはありません。LDAP サービスは、ドメイン コント ローラー上で有効な証明書をインストールするを許可します。自動受信両方 LDAP 用の SSL 接続をリッスンして、グローバル カタログのトラフィック。

LDAPS 証明書の要件

LDAPS を有効にするを満たす証明書をインストールする必要があります、次の必要条件:
  • LDAPS 証明書がローカル コンピューターでのあります。(プログラムとコンピューターの MY と呼ばれる個人用証明書ストア証明書ストアの場合)。
  • 証明書と一致する秘密キーであります。ローカル コンピューターのストアし、証明書に正しく関連付けられています。秘密キーする必要があります。 いない 有効になっている強力な秘密キーの保護があります。
  • 拡張キー使用法拡張にサーバーが含まれています。認証 (1.3.6.1.5.5.7.3.1) オブジェクト識別子 (とも呼ばれるOID)。
  • Active Directory のドメイン名を完全修飾にドメイン コント ローラー (例 DC01。ドメイン。[COM]) のいずれかでが表示する必要があります、次の場所:
    • 一般名 (CN) 件名フィールドにします。
    • DNS エントリには、サブジェクトの別名拡張します。
  • 証明書が CA によって発行された、ドメインコント ローラーと LDAPS クライアントを信頼します。構成して信頼関係の確立、クライアントとサーバーは、ルート CA を信頼する発行元の CA チェーン。
  • Schannel の暗号化サービス プロバイダー (CSP) を使用して、キーを生成する必要があります。
証明書の信頼情報の確立の詳細については、「証明機関の信頼関係を確立するポリシーを root」トピックを参照してください。Windows 2000 Server のヘルプにします。

証明書の要求を作成します。

SSL 証明書の要求を作成する任意のユーティリティまたは有効な PKCS #10 要求を作成したアプリケーションを使用できます。Certreq を使用して要求を作成します。

メモ この資料で使用されているコマンド、Certreq の 2003年バージョンに依存します。この資料では、Windows 2000 サーバー上で手順を実行するには、certreq.exe と certcli.dll から Windows 2003 サーバーをコピーして、Windows 2000 サーバー上の一時ディレクトリにします。

Certreq.exe を生成するテキスト命令ファイルを必要とします。適切な X.509 証明書の要求がドメイン コント ローラーにします。作成することができます。優先の ASCII テキスト エディターを使用してこのファイルです。.Inf ファイルを保存します。任意のフォルダーにファイルをハード ディスク ドライブです。

サーバーに要求するのにはLDAPS、適しています認証の証明書は、次の手順をに従ってください。
  1. .Inf ファイルを作成します。.Inf の例を次に示します証明書要求を作成するために使用できるファイルです。
    -----------------request.inf-----------------

    [バージョン]

    署名 ="$ Windows NT $

    [NewRequest]

    サブジェクト ="CN<dc fqdn="">="です。DC の FQDN に置き換えます<b00></b00></dc>
    KeySpec = 1
    KeyLength 1024 =
    ;1024、することができます 2048年 4096、8192、または 16384。
    ;大きなキー サイズがより安全なが
    ;パフォーマンス上のインパクト。
    エクスポートできる = TRUE
    MachineKeySet = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = の"Microsoft RSA SChannel 暗号化プロバイダー"
    Providertype クラス 12 =
    RequestType PKCS10 =
    KeyUsage 0xa0 =

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ;このサーバーの認証に使用されます。

    ;-----------------------------------------------
    切り取りし、サンプル ファイルを Request.inf という名前の新しいテキスト ファイルに貼り付けます。ドメイン コント ローラーの完全修飾 DNS 名を入力、要求します。

    メモ いくつかサード パーティの証明機関は、件名パラメーターに追加情報が必要です。このような情報に電子メール アドレス (E) は、組織単位 (OU) が含まれています組織 (O)、局所市 (L)、州または都道府県 (S)、および国または地域 (C) です。サブジェクト名 (CN) にこの情報を追加することができます。でRequest.inf ファイルです。たとえば: Subject="E=admin@contoso.com、CN<dc fqdn="">、= OU、O = Contoso、L = Redmond、S = ワシントン、C = = US"。<b00></b00></dc>
  2. 要求ファイルを作成します。これを行うには、以下を入力します。コマンド プロンプトで、コマンドをし、ENTER キーを押します。
    certreq-新しい request.inf request.req
    Request.req という名前の新しいファイルが作成されます。これで、base64 でエンコードされた要求ファイルです。
  3. CA への要求を送信します。要求を送信することができます、Microsoft CA またはサードパーティ CA へ。
  4. 発行され、保存した証明書を取得、証明書の要求ファイルと同じフォルダーに Certnew.cer とします。これを行うには、次の手順を実行します。
    1. Certnew.cer という名前の新しいファイルを作成します。
    2. メモ帳でファイルを開き、エンコードされた証明書を貼り付けるファイルと、ファイルを保存します。
    メモ 保存されている証明書を base64 としてエンコードする必要があります。一部のサード パーティCa 取得証明書要求者に base64 でエンコードされたテキストとして、電子メール メッセージの場合します。
  5. 証明書をそのまま使用します。これを行うには、入力、次のコマンドをコマンド プロンプトで、し、ENTER キーを押します。
    certreq-certnew.cer を使用します。
  6. 証明書がコンピューターにインストールされていることを確認してください。個人ストアに格納します。これを行うには、次の手順を実行します。
    1. Microsoft 管理コンソール (MMC) を起動します。
    2. 証明書を管理する証明書スナップインを追加します。ローカル コンピューターにします。
    3. 展開 [証明書 (ローカル コンピューター),展開 個人、し展開 証明書.
    新しい証明書は [個人] ストアでなければなりません。で、証明書のプロパティ ダイアログ ボックスでは、本来の目的表示されます。 サーバーの認証.この証明書を発行します。コンピューターの完全修飾ホスト名にします。
  7. ドメイン コント ローラーを再起動します。
証明書の要求の作成の詳細については、次の高度な証明書の登録と管理のホワイト ペーパーを参照してください。このホワイト ペーパーを参照するには、次のマイクロソフト Web サイトを参照してください。
http://technet.microsoft.com/en-us/library/cc782583.aspx

LDAPS の接続を確認します。

証明書をインストールした後を確認するのには、次の手順を実行します。LDAPS が有効になっています。
  1. Active Directory 管理ツールを起動します。(Ldp.exe)。

    メモ このプログラムでは、Windows 2000 サポートがインストールされています。ツールです。
  2. で、 接続 メニューをクリックして接続.
  3. 先となるドメイン コント ローラーの名前を入力します。接続します。
  4. 種類 636 ポートとして数です。
  5. クリックしてください。 [OK].

    RootDSE の情報右側のウィンドウでは、接続が成功を示すが表示されます。

潜在的な問題

  • TLS の要求の拡張を開始します。
    LDAPS 通信には TCP 636 ポートを介して行われます。LDAPSグローバル カタログ サーバーへの通信を TCP 3269 上で発生します。接続時LDAP トラフィックにポート 636 または 3269、SSL/TLS ネゴシエーションを行うか交換します。Windows 2000 は、開始 TLS 拡張要求をサポートしていません機能します。
  • 複数の SSL 証明書
    Schannel は Microsoft SSL プロバイダーを 1 つを選択します。ローカル コンピューターのストアで検出された有効な証明書。ある場合複数有効利用で証明書をローカル コンピューター ストア、Schannel を可能性があります。適切な証明書を選択できません。
  • SP3 よりも前の SSL 証明書の問題をキャッシュします。
    LDAPS 既存の証明書を交換した場合証明書の書き換えプロセスを通じて、または発行元の CA があるため変更、Schannel は、新しい証明書を使用するのには、サーバーを再起動する必要があります。SSL のプロバイダーでは、Windows 2000 は LDAPS 証明書をキャッシュし、されていません。ドメイン コント ローラーを再起動するまで変更を検出します。これはされています。Windows 2000 用の Service Pack 3 で修正します。

Windows Server 2008 の機能強化

ここで元の推奨事項は、ローカル コンピューターの個人ストアに証明書を配置することでした。このオプションがサポートされますが、証明書、NTDS サービスの個人証明書ストア内で Windows Server 2008 とそれ以降のバージョンの Active Directory ドメイン サービス (AD DS) することもできます。NTDS サービスの個人証明書ストアに証明書を追加する方法の詳細については、次のマイクロソフト Web サイトを参照してください。
.aspx の http://technet.microsoft.com/en-us/library/dd941846 (WS.10)
AD DS 優先的はこのストアに証明書がローカル コンピューターのストアを検索します。これによりより簡単に使用するために必要な証明書を使用するのには、AD DS の構成になります。これは、ローカル コンピューターの個人ストアに、複数の証明書が存在する可能性があり、どの 1 つが選択されているかを予測することは困難ですのでです。

新しい証明書に証明書ストアが削除され、AD DS を再起動するか、ドメイン コント ローラーを再起動しなくても、SSL 証明書の更新をトリガーする場合は、AD DS を検出します。

名前が付けられます、新しい rootDse の操作 renewServerCertificate AD DS を再起動するか、ドメイン コント ローラーを再起動しなくても、SSL 証明書を更新するのには、AD DS を手動で開始するために使用できます。この属性を使用して更新できます。 adsiedit.msc、、または LDAP ディレクトリ交換形式 (LDIF) を使用して、変更をインポートします。 ldifde.exe.LDIF を使用して、この属性を更新する詳細については、次のマイクロソフト MSDN Web サイトを参照してください。
.aspx の http://msdn.microsoft.com/en-us/library/cc223311 (v=PROT.10)
Windows Server 2008 またはそれ以降のバージョンのドメイン コント ローラーがストアに複数の証明書を検索する場合は、最後に、自動的に証明書が有効期限の日付は未来の遠いですオンにします。現在の証明書の有効期限が近づいている場合は、ストアでは、置換後の証明書を削除するして、AD DS に自動的に使用するスイッチします。

これらのすべては 2008 Active Directory ライトウェイト ディレクトリ サービス (AD LDS) や Windows Server 2008 AD DS 機能します。AD LDS では、証明書対応サービス用の個人証明書ストアに、AD LDS インスタンスではなく NTDS サービス用に配置します。

プロパティ

文書番号: 321051 - 最終更新日: 2011年7月27日 - リビジョン: 22.0
キーワード:?
kbinfo kbproductlink kbmt KB321051 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:321051
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com