Configuring an SSL Certificate for Microsoft Active Directory
You can configure Crowd to work with Microsoft Active Directory by setting up an LDAP connector in Crowd. If you wish to use Crowd to add users or change passwords in Active Directory, you will need to install an SSL certificate generated by your Active Directory server and then install the certificate into your JVM keystore.
On this page:
keystore にインポートします。Prerequisites
証明書を生成するには、接続している Windows ドメイン コントローラーに、以下のコンポーネントをインストールする必要があります。
必要なコンポーネント | 説明 |
|---|---|
Internet Information Services (IIS) | Windows Certificate Services をインストールする前に必要とされるものです。 |
Windows Certificate Services | 証明書の発行に使用される認証局(CA)をインストールします。下記のステップ 1 では、このプロセスについて説明しています。 |
Windows 2000 Service Pack 2 | Windows 2000 を使用する場合に必要です。 |
Windows 2000 High Encryption Pack (128-bit) | Windows 2000 を使用する場合に必要です。利用可能な最高度の暗号化レベル(128 -ビット)を提供します。 |
ステップ 1.Active Directory 証明書サービスのインストール
証明書サービスがすでにインストールされている場合は、下のステップ 2 に進みます。下のスクリーンショットは、サーバー 2008 のものですが、サーバー 2000 および 2003 についても、このプロセスは同じです。
- 管理者として Active Directory サーバーにログインします。
- スタートをクリックして、管理ツールにカーソルを合わせ、次にサーバー マネージャーをクリックします。
- [ロール概要] セクションで、[ロールの追加] をクリックします。
- [サーバー ロールの選択] ページで、[Active Directory 証明書サービス] チェック ボックスを選択します。[次へ] を 2 回クリックします。
- [ロール サービスの選択] ページで、[認証局] チェック ボックスを選択し、[次へ] をクリックします。
- [セットアップの種類指定] ページで、[エンタープライズ] をクリックし、[次へ] をクリックします。
- [認証局の種類指定] ページで、[ルート認証局] をクリックし、[次へ] をクリックします。
- [非公開鍵の設定] および [認証局用の暗号化方式設定] ページでは、暗号化サービス プロバイダーなどのオプションの構成設定を設定できます。既定値をそのままご利用いただくこともできます。[次へ] を 2 回クリックします。
- [本認証局のコモン ネーム] ボックスに認証局のコモン ネームを入力し、[次へ] をクリックします。
- [有効期間の設定] ページで、既定値を許可するか、証明書データベースと証明書データベース ログを保管する他の場所を指定して、[次へ] をクリックします。
- [インストールの選択確認] ページで入力情報を確認したあと、[インストール] をクリックします。
- 結果画面上の情報を確認し、インストールが成功したことを確かめます。
ステップ 2.サーバー証明書の取得
上記のステップは、Microsoft Active Directory サーバーに認証局(CA)をインストールする方法に関する説明です。次に、アプリケーション サーバーを実行する JDK が使用する承認済み証明書の一覧に、Microsoft Active Directory サーバーの SSL 証明書を追加する必要があります。
Active Directory 証明書は自動的に生成され、Active Directory サーバーのツリー構造と同様のファイル フォーマットに類似する形式で C:\ ドライブのルートに配置されます。例: c:\ad2008.ad01.atlassian.com_ad01.crt。
また、Active Directory サーバー上で、次のコマンドを実行することにより、証明書をエクスポートできます。
certutil -ca.cert client.crt上記の証明書ファイルを使用しても、認証に失敗する場合があります。この場合は、 Microsoft の LDAP over SSL (LDAPS) 証明書ページが役立つ可能性があります。次の操作が必要になるので注意してください。
- ステップ- 10 の LDAPS 証明書のエクスポートおよび AD DS で使用するためのインポート セクションで、「いいえ、秘密鍵をエクスポートしません」 を選択します。
- ステップ- 11 の LDAPS 証明書のエクスポートおよび AD DS で使用するためのインポートセクションで「DER エンコード済みバイナリX.509 (.CER)」を選択します。このファイルは次のステップで使用します。
ステップ 3.サーバー証明書のインポート
アプリケーション サーバーがディレクトリの証明書を信頼できるようにするには、証明書を Java ランタイム環境にインポートする必要があります。JDK は信頼済みの証明書をキーストアと呼ばれるファイルに格納します。既定のキーストア ファイルは cacerts と呼ばれ、Java インストールの jre\lib\security サブディレクトリに置かれます。
以下の例では、ディレクトリ サーバーからエクスポートされる証明書ファイルを server-certificate.crt と表しています。実際に生成された名前と一致するよう、以降の手順を修正する必要があります。
以下の指示にしたがい、証明書をインポートしたあと、アプリケーションを再起動して、変更を反映する必要があります。
Windows
Java がインストールされているディレクトリに移動します。このディレクトリは、
C:\Program Files\Java\jdk1.5.0_12のようになります。cd /d C:\Program Files\Java\jdk1.5.0_12次のコマンドを実行します。ここで
server-certificate.crtはディレクトリ サーバー からエクスポートされたファイルの名前です。keytool -importcert -keystore .\jre\lib\security\cacerts -file server-certificate.crtkeytoolからパスワードの入力を求められます。既定のキーストア パスワードはchangeitです。Trust this certificate? [no]:というプロンプトが表示されたら、「yes」と入力し、キーのインポートを確認します。Enter keystore password: changeit Owner: CN=ad01, C=US Issuer: CN=ad01, C=US Serial number: 15563d6677a4e9e4582d8a84be683f9 Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012 Certificate fingerprints: MD5: D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1 Trust this certificate? [no]: yes Certificate was added to keystore- アプリケーションを再起動すると、cacerts が変更されます。
- これで、LDAP over SSL (つまり、 ldaps://<HOSTNAME>: 636/ )を使用するように 'URL' を変更して、 アプリケーションをディレクトリ サーバーに接続する時に、'Secure SSL' オプションを使用できるようになります。
Unix
JIRA が使用する Java がインストールされているディレクトリに移動します。既定の JAVA インストールを使用する場合、次のように入力します。
cd $JAVA_HOME次のコマンドを実行します。ここで
server-certificate.crtはディレクトリ サーバー からエクスポートされたファイルの名前です。sudo keytool -importcert -keystore ./jre/lib/security/cacerts -file server-certificate.crtkeytoolからパスワードの入力を求められます。既定のキーストア パスワードはchangeitです。Trust this certificate? [no]:というプロンプトが表示されたら、「yes」と入力し、キーのインポートを確認します。Password: Enter keystore password: changeit Owner: CN=ad01, C=US Issuer: CN=ad01, C=US Serial number: 15563d6677a4e9e4582d8a84be683f9 Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012 Certificate fingerprints: MD5: D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1 Trust this certificate? [no]: yes Certificate was added to keystore- アプリケーションを再起動すると、cacerts が変更されます。
- これで、LDAP over SSL (つまり、 ldaps://<HOSTNAME>: 636/ )を使用するように 'URL' を変更して、 アプリケーションをディレクトリ サーバーに接続する時に、'Secure SSL' オプションを使用できるようになります。
Mac OS X
Java がインストールされているディレクトリに移動します。通常、次のように入力します。
cd /Library/Java/Home次のコマンドを実行します。ここで
server-certificate.crtはディレクトリ サーバー からエクスポートされたファイルの名前です。sudo keytool -importcert -keystore ./jre/lib/security/cacerts -file server-certificate.crtkeytoolからパスワードの入力を求められます。既定のキーストア パスワードはchangeitです。Trust this certificate? [no]:というプロンプトが表示されたら、「yes」と入力し、キーのインポートを確認します。Password: Enter keystore password: changeit Owner: CN=ad01, C=US Issuer: CN=ad01, C=US Serial number: 15563d6677a4e9e4582d8a84be683f9 Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012 Certificate fingerprints: MD5: D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1 Trust this certificate? [no]: yes Certificate was added to keystore- アプリケーションを再起動すると、cacerts が変更されます。
- これで、LDAP over SSL (つまり、 ldaps://<HOSTNAME>: 636/ )を使用するように 'URL' を変更して、 アプリケーションをディレクトリ サーバーに接続する時に、'Secure SSL' オプションを使用できるようになります。