Active Directory への SSL 接続の設定
Microsoft Active Directory との読み書き接続を設定する場合、Active Directory サーバーによって生成される SSL 証明書を Confluence サーバーにインストールし、次に、その証明書を JVM キーストアにインストールする必要があります。
On this page:
keystore
にインポートします。Prerequisites
証明書を生成するには、接続している Windows ドメイン コントローラーに、以下のコンポーネントをインストールする必要があります。
必要なコンポーネント | 説明 |
---|---|
Internet Information Services (IIS) | Windows Certificate Services をインストールする前に必要とされるものです。 |
Windows Certificate Services | 証明書の発行に使用される認証局(CA)をインストールします。下記のステップ 1 では、このプロセスについて説明しています。 |
Windows 2000 Service Pack 2 | Windows 2000 を使用する場合に必要です。 |
Windows 2000 High Encryption Pack (128-bit) | Windows 2000 を使用する場合に必要です。利用可能な最高度の暗号化レベル(128 -ビット)を提供します。 |
ステップ 1.Active Directory 証明書サービスのインストール
証明書サービスがすでにインストールされている場合は、下のステップ 2 に進みます。下のスクリーンショットは、サーバー 2008 のものですが、サーバー 2000 および 2003 についても、このプロセスは同じです。
- 管理者として Active Directory サーバーにログインします。
- スタートをクリックして、管理ツールにカーソルを合わせ、次にサーバー マネージャーをクリックします。
- [ロール概要] セクションで、[ロールの追加] をクリックします。
- [サーバー ロールの選択] ページで、[Active Directory 証明書サービス] チェック ボックスを選択します。[次へ] を 2 回クリックします。
- [ロール サービスの選択] ページで、[認証局] チェック ボックスを選択し、[次へ] をクリックします。
- [セットアップの種類指定] ページで、[エンタープライズ] をクリックし、[次へ] をクリックします。
- [認証局の種類指定] ページで、[ルート認証局] をクリックし、[次へ] をクリックします。
- [非公開鍵の設定] および [認証局用の暗号化方式設定] ページでは、暗号化サービス プロバイダーなどのオプションの構成設定を設定できます。既定値をそのままご利用いただくこともできます。[次へ] を 2 回クリックします。
- [本認証局のコモン ネーム] ボックスに認証局のコモン ネームを入力し、[次へ] をクリックします。
- [有効期間の設定] ページで、既定値を許可するか、証明書データベースと証明書データベース ログを保管する他の場所を指定して、[次へ] をクリックします。
- [インストールの選択確認] ページで入力情報を確認したあと、[インストール] をクリックします。
- 結果画面上の情報を確認し、インストールが成功したことを確かめます。
ステップ 2.サーバー証明書の取得
上記のステップは、Microsoft Active Directory サーバーに認証局(CA)をインストールする方法に関する説明です。次に、アプリケーション サーバーを実行する JDK が使用する承認済み証明書の一覧に、Microsoft Active Directory サーバーの SSL 証明書を追加する必要があります。
Active Directory 証明書は自動的に生成され、Active Directory サーバーのツリー構造と同様のファイル フォーマットに類似する形式で C:\ ドライブのルートに配置されます。例: c:\ad2008.ad01.atlassian.com_ad01.crt
。
また、Active Directory サーバー上で、次のコマンドを実行することにより、証明書をエクスポートできます。
certutil -ca.cert client.crt
上記の証明書ファイルを使用しても、認証に失敗する場合があります。この場合は、 Microsoft の LDAP over SSL (LDAPS) 証明書ページが役立つ可能性があります。次の操作が必要になるので注意してください。
- ステップ- 10 の LDAPS 証明書のエクスポートおよび AD DS で使用するためのインポート セクションで、「いいえ、秘密鍵をエクスポートしません」 を選択します。
- ステップ- 11 の LDAPS 証明書のエクスポートおよび AD DS で使用するためのインポートセクションで「DER エンコード済みバイナリX.509 (.CER)」を選択します。このファイルは次のステップで使用します。
ステップ 3.サーバー証明書のインポート
アプリケーション サーバーがディレクトリの証明書を信頼できるようにするには、証明書を Java ランタイム環境にインポートする必要があります。JDK は信頼済みの証明書をキーストアと呼ばれるファイルに格納します。既定のキーストア ファイルは cacerts
と呼ばれ、Java インストールの jre\lib\security
サブディレクトリに置かれます。
以下の例では、ディレクトリ サーバーからエクスポートされる証明書ファイルを server-certificate.crt
と表しています。実際に生成された名前と一致するよう、以降の手順を修正する必要があります。
以下の指示にしたがい、証明書をインポートしたあと、アプリケーションを再起動して、変更を反映する必要があります。
Windows
Java がインストールされているディレクトリに移動します。このディレクトリは、
C:\Program Files\Java\jdk1.5.0_12
のようになります。cd /d C:\Program Files\Java\jdk1.5.0_12
次のコマンドを実行します。ここで
server-certificate.crt
はディレクトリ サーバー からエクスポートされたファイルの名前です。keytool -importcert -keystore .\jre\lib\security\cacerts -file server-certificate.crt
keytool
からパスワードの入力を求められます。既定のキーストア パスワードはchangeit
です。Trust this certificate? [no]:
というプロンプトが表示されたら、「yes
」と入力し、キーのインポートを確認します。Enter keystore password: changeit Owner: CN=ad01, C=US Issuer: CN=ad01, C=US Serial number: 15563d6677a4e9e4582d8a84be683f9 Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012 Certificate fingerprints: MD5: D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1 Trust this certificate? [no]: yes Certificate was added to keystore
- アプリケーションを再起動すると、cacerts が変更されます。
- これで、LDAP over SSL (つまり、 ldaps://<HOSTNAME>: 636/ )を使用するように 'URL' を変更して、 アプリケーションをディレクトリ サーバーに接続する時に、'Secure SSL' オプションを使用できるようになります。
Unix
JIRA が使用する Java がインストールされているディレクトリに移動します。既定の JAVA インストールを使用する場合、次のように入力します。
cd $JAVA_HOME
次のコマンドを実行します。ここで
server-certificate.crt
はディレクトリ サーバー からエクスポートされたファイルの名前です。sudo keytool -importcert -keystore ./jre/lib/security/cacerts -file server-certificate.crt
keytool
からパスワードの入力を求められます。既定のキーストア パスワードはchangeit
です。Trust this certificate? [no]:
というプロンプトが表示されたら、「yes
」と入力し、キーのインポートを確認します。Password: Enter keystore password: changeit Owner: CN=ad01, C=US Issuer: CN=ad01, C=US Serial number: 15563d6677a4e9e4582d8a84be683f9 Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012 Certificate fingerprints: MD5: D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1 Trust this certificate? [no]: yes Certificate was added to keystore
- アプリケーションを再起動すると、cacerts が変更されます。
- これで、LDAP over SSL (つまり、 ldaps://<HOSTNAME>: 636/ )を使用するように 'URL' を変更して、 アプリケーションをディレクトリ サーバーに接続する時に、'Secure SSL' オプションを使用できるようになります。
Mac OS X
Java がインストールされているディレクトリに移動します。通常、次のように入力します。
cd /Library/Java/Home
次のコマンドを実行します。ここで
server-certificate.crt
はディレクトリ サーバー からエクスポートされたファイルの名前です。sudo keytool -importcert -keystore ./jre/lib/security/cacerts -file server-certificate.crt
keytool
からパスワードの入力を求められます。既定のキーストア パスワードはchangeit
です。Trust this certificate? [no]:
というプロンプトが表示されたら、「yes
」と入力し、キーのインポートを確認します。Password: Enter keystore password: changeit Owner: CN=ad01, C=US Issuer: CN=ad01, C=US Serial number: 15563d6677a4e9e4582d8a84be683f9 Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012 Certificate fingerprints: MD5: D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1 Trust this certificate? [no]: yes Certificate was added to keystore
- アプリケーションを再起動すると、cacerts が変更されます。
- これで、LDAP over SSL (つまり、 ldaps://<HOSTNAME>: 636/ )を使用するように 'URL' を変更して、 アプリケーションをディレクトリ サーバーに接続する時に、'Secure SSL' オプションを使用できるようになります。
関連トピック
Connecting to an LDAP Directory
Configuring User Directories