Active Directory への SSL 接続の設定

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

アトラシアンのアプリケーションはSSLに対応しています。しかし、アトラシアンのサポートはその設定に対して支援は行いません。つまり、アトラシアンはSSLに関するあらゆるサポートの提供の保証はできません

  • SSL証明書の変更に際してサポートが必要であれば、証明書の提供元のベンダーに相談してください。
  • 設定に関してサポートが必要であれば、Atlassian Answers に質問をあげてください。

Microsoft Active Directory との読み書き接続を設定する場合、Active Directory サーバーによって生成される SSL 証明書を Jira サーバーにインストールし、次に、その証明書を JVM キーストアにインストールする必要があります。

On this page:

Active Directory のユーザー、グループ、メンバーシップの詳細を更新するには、AD サーバーを信頼する JVM でアトラシアン アプリケーションを実行する必要があります。これを行うには、Active Directory サーバーで証明書を生成し、Java の keystore にインポートします。

Prerequisites

証明書を生成するには、接続している Windows ドメイン コントローラーに、以下のコンポーネントをインストールする必要があります。

必要なコンポーネント

説明

Internet Information Services (IIS)

Windows Certificate Services をインストールする前に必要とされるものです。

Windows Certificate Services

証明書の発行に使用される認証局(CA)をインストールします。下記のステップ 1 では、このプロセスについて説明しています。

Windows 2000 Service Pack 2

Windows 2000 を使用する場合に必要です。

Windows 2000 High Encryption Pack (128-bit)

Windows 2000 を使用する場合に必要です。利用可能な最高度の暗号化レベル(128 -ビット)を提供します。

ステップ 1.Active Directory 証明書サービスのインストール

証明書サービスがすでにインストールされている場合は、下のステップ 2 に進みます。下のスクリーンショットは、サーバー 2008 のものですが、サーバー 2000 および 2003 についても、このプロセスは同じです。

  1. 管理者として Active Directory サーバーにログインします。
  2. スタートをクリックして、管理ツールにカーソルを合わせ、次にサーバー マネージャーをクリックします。
  3. [ロール概要] セクションで、[ロールの追加] をクリックします。

  4. [サーバー ロールの選択] ページで、[Active Directory 証明書サービス] チェック ボックスを選択します。[次へ] を 2 回クリックします。

  5. [ロール サービスの選択] ページで、[認証局] チェック ボックスを選択し、[次へ] をクリックします。

  6. [セットアップの種類指定] ページで、[エンタープライズ] をクリックし、[次へ] をクリックします。

  7. [認証局の種類指定] ページで、[ルート認証局] をクリックし、[次へ] をクリックします。

  8. [非公開鍵の設定] および [認証局用の暗号化方式設定] ページでは、暗号化サービス プロバイダーなどのオプションの構成設定を設定できます。既定値をそのままご利用いただくこともできます。[次へ] を 2 回クリックします。

  9. [本認証局のコモン ネーム] ボックスに認証局のコモン ネームを入力し、[次へ] をクリックします。

  10. [有効期間の設定] ページで、既定値を許可するか、証明書データベースと証明書データベース ログを保管する他の場所を指定して、[次へ] をクリックします。

  11. [インストールの選択確認] ページで入力情報を確認したあと、[インストール] をクリックします。

  12. 結果画面上の情報を確認し、インストールが成功したことを確かめます。

ステップ 2.サーバー証明書の取得

上記のステップは、Microsoft Active Directory サーバーに認証局(CA)をインストールする方法に関する説明です。次に、アプリケーション サーバーを実行する JDK が使用する承認済み証明書の一覧に、Microsoft Active Directory サーバーの SSL 証明書を追加する必要があります。

Active Directory 証明書は自動的に生成され、Active Directory サーバーのツリー構造と同様のファイル フォーマットに類似する形式で C:\ ドライブのルートに配置されます。例: c:\ad2008.ad01.atlassian.com_ad01.crt

また、Active Directory サーバー上で、次のコマンドを実行することにより、証明書をエクスポートできます。

certutil -ca.cert client.crt

上記の証明書ファイルを使用しても、認証に失敗する場合があります。この場合は、 Microsoft の LDAP over SSL (LDAPS) 証明書ページが役立つ可能性があります。次の操作が必要になるので注意してください。

  1. ステップ- 10 の LDAPS 証明書のエクスポートおよび AD DS で使用するためのインポート セクションで、「いいえ、秘密鍵をエクスポートしません」 を選択します。
  2. ステップ- 11 の LDAPS 証明書のエクスポートおよび AD DS で使用するためのインポートセクションで「DER エンコード済みバイナリX.509 (.CER)」を選択します。このファイルは次のステップで使用します。

ステップ 3.サーバー証明書のインポート

アプリケーション サーバーがディレクトリの証明書を信頼できるようにするには、証明書を Java ランタイム環境にインポートする必要があります。JDK は信頼済みの証明書をキーストアと呼ばれるファイルに格納します。既定のキーストア ファイルは cacerts と呼ばれ、Java インストールの jre\lib\security サブディレクトリに置かれます。

以下の例では、ディレクトリ サーバーからエクスポートされる証明書ファイルを server-certificate.crt と表しています。実際に生成された名前と一致するよう、以降の手順を修正する必要があります。

以下の指示にしたがい、証明書をインポートしたあと、アプリケーションを再起動して、変更を反映する必要があります。

Windows

  1. Java がインストールされているディレクトリに移動します。このディレクトリは、C:\Program Files\Java\jdk1.5.0_12 のようになります。

    cd /d C:\Program Files\Java\jdk1.5.0_12
    
  2. 次のコマンドを実行します。ここで server-certificate.crt  はディレクトリ サーバー からエクスポートされたファイルの名前です。

    keytool -importcert -keystore .\jre\lib\security\cacerts -file server-certificate.crt
  3. keytool からパスワードの入力を求められます。既定のキーストア パスワードは changeit です。
  4. Trust this certificate? [no]: というプロンプトが表示されたら、「yes 」と入力し、キーのインポートを確認します。

    Enter keystore password:  changeit
    Owner: CN=ad01, C=US
    Issuer: CN=ad01, C=US
    Serial number: 15563d6677a4e9e4582d8a84be683f9
    Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012
    Certificate fingerprints:
             MD5:  D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
             SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
    Trust this certificate? [no]:  yes
    Certificate was added to keystore
    
  5. アプリケーションを再起動すると、cacerts が変更されます。 
  6. これで、LDAP over SSL (つまり、 ldaps://<HOSTNAME>: 636/ )を使用するように 'URL' を変更して、 アプリケーションをディレクトリ サーバーに接続する時に、'Secure SSL' オプションを使用できるようになります。

Unix

  1. JIRA が使用する Java がインストールされているディレクトリに移動します。既定の JAVA インストールを使用する場合、次のように入力します。

    cd $JAVA_HOME
    
  2. 次のコマンドを実行します。ここで server-certificate.crt  はディレクトリ サーバー からエクスポートされたファイルの名前です。

    sudo keytool -importcert -keystore ./jre/lib/security/cacerts -file server-certificate.crt
  3. keytool からパスワードの入力を求められます。既定のキーストア パスワードは changeit です。
  4. Trust this certificate? [no]: というプロンプトが表示されたら、「yes 」と入力し、キーのインポートを確認します。

    Password:
    Enter keystore password:  changeit
    Owner: CN=ad01, C=US
    Issuer: CN=ad01, C=US
    Serial number: 15563d6677a4e9e4582d8a84be683f9
    Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012
    Certificate fingerprints:
             MD5:  D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
             SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
    Trust this certificate? [no]:  yes
    Certificate was added to keystore
    
  5. アプリケーションを再起動すると、cacerts が変更されます。 
  6. これで、LDAP over SSL (つまり、 ldaps://<HOSTNAME>: 636/ )を使用するように 'URL' を変更して、 アプリケーションをディレクトリ サーバーに接続する時に、'Secure SSL' オプションを使用できるようになります。

Mac OS X

  1. Java がインストールされているディレクトリに移動します。通常、次のように入力します。

    cd /Library/Java/Home
    
  2. 次のコマンドを実行します。ここで server-certificate.crt  はディレクトリ サーバー からエクスポートされたファイルの名前です。

    sudo keytool -importcert -keystore ./jre/lib/security/cacerts -file server-certificate.crt
  3. keytool からパスワードの入力を求められます。既定のキーストア パスワードは changeit です。
  4. Trust this certificate? [no]: というプロンプトが表示されたら、「yes 」と入力し、キーのインポートを確認します。

    Password:
    Enter keystore password:  changeit
    Owner: CN=ad01, C=US
    Issuer: CN=ad01, C=US
    Serial number: 15563d6677a4e9e4582d8a84be683f9
    Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012
    Certificate fingerprints:
             MD5:  D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
             SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
    Trust this certificate? [no]:  yes
    Certificate was added to keystore
    
  5. アプリケーションを再起動すると、cacerts が変更されます。 
  6. これで、LDAP over SSL (つまり、 ldaps://<HOSTNAME>: 636/ )を使用するように 'URL' を変更して、 アプリケーションをディレクトリ サーバーに接続する時に、'Secure SSL' オプションを使用できるようになります。


関連トピック

LDAP ディレクトリへの接続
ユーザーディレクトリの設定

最終更新日 2018 年 5 月 11 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.