Configuring an SSL Certificate for Microsoft Active Directory

Prerequisites

証明書を生成するには、接続している Windows ドメイン コントローラーに、以下のコンポーネントをインストールする必要があります。

ステップ 1.Active Directory 証明書サービスのインストール

証明書サービスがすでにインストールされている場合は、下のステップ 2 に進みます。下のスクリーンショットは、サーバー 2008 のものですが、サーバー 2000 および 2003 についても、このプロセスは同じです。

1. 管理者として Active Directory サーバーにログインします。
2. スタートをクリックして、管理ツールにカーソルを合わせ、次にサーバー マネージャーをクリックします。
3. In the Roles Summary section, click Add Roles.
   
   
4. On the Select Server Roles page, select the Active Directory Certificate Services check box. Click Next twice.
   
   
5. On the Select Role Services page, select the Certification Authority check box, and then click Next.
   
   
6. On the Specify Setup Type page, click Enterprise, and then click Next.
   
   
7. On the Specify CA Type page, click Root CA, and then click Next.
   
   
8. On the Set Up Private Key and Configure Cryptography for CA pages, you can configure optional configuration settings, including cryptographic service providers. However, the default values should be fine. Click Next twice.
   
   
9. In the Common name for this CA box, type the common name of the CA, and then click Next.
   
   
10. On the Set Validity Period page, accept the default values or specify other storage locations for the certificate database and the certificate database log, and then click Next.
    
    
11. After verifying the information on the Confirm Installation Selections page, click Install.
    
    
12. 結果画面上の情報を確認し、インストールが成功したことを確かめます。
    
    

ステップ 2.サーバー証明書の取得

上記のステップは、Microsoft Active Directory サーバーに認証局（CA）をインストールする方法に関する説明です。次に、アプリケーション サーバーを実行する JDK が使用する承認済み証明書の一覧に、Microsoft Active Directory サーバーの SSL 証明書を追加する必要があります。

Active Directory 証明書は自動的に生成され、Active Directory サーバーのツリー構造と同様のファイル フォーマットに類似する形式で C:\ ドライブのルートに配置されます。例: c:\ad2008.ad01.atlassian.com_ad01.crt。

また、Active Directory サーバー上で、次のコマンドを実行することにより、証明書をエクスポートできます。

certutil -ca.cert client.crt

You might still fail to be authenticated using the certificate file above. In this case, Microsoft's LDAP over SSL (LDAPS) Certificate page might help. Note that you need to:

1. Choose "No, do not export the private key" in step-10 of Exporting the LDAPS Certificate and Importing for use with AD DS section 
2. Choose "DER encoded binary X.509 (.CER)" in step-11 of Exporting the LDAPS Certificate and Importing for use with AD DS section. This file will be used in the following step.

ステップ 3.サーバー証明書のインポート

アプリケーション サーバーがディレクトリの証明書を信頼できるようにするには、証明書を Java ランタイム環境にインポートする必要があります。JDK は信頼済みの証明書をキーストアと呼ばれるファイルに格納します。既定のキーストア ファイルは cacerts と呼ばれ、Java インストールの jre\lib\security サブディレクトリに置かれます。

以下の例では、ディレクトリ サーバーからエクスポートされる証明書ファイルを server-certificate.crt と表しています。実際に生成された名前と一致するよう、以降の手順を修正する必要があります。

以下の指示にしたがい、証明書をインポートしたあと、アプリケーションを再起動して、変更を反映する必要があります。

Windows

1. Java がインストールされているディレクトリに移動します。このディレクトリは、C:\Program Files\Java\jdk1.5.0_12 のようになります。

   cd /d C:\Program Files\Java\jdk1.5.0_12
   

2. 次のコマンドを実行します。ここで server-certificate.crt  はディレクトリ サーバー からエクスポートされたファイルの名前です。

   keytool -importcert -keystore .\jre\lib\security\cacerts -file server-certificate.crt

3. keytool からパスワードの入力を求められます。既定のキーストア パスワードは changeit です。

4. Trust this certificate? [no]: というプロンプトが表示されたら、「yes 」と入力し、キーのインポートを確認します。

   Enter keystore password:changeit
   Owner: CN=ad01, C=US
   Issuer: CN=ad01, C=US
   Serial number: 15563d6677a4e9e4582d8a84be683f9
   Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012
   Certificate fingerprints:
   MD5:D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
   SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
   Trust this certificate? [no]:yes
   Certificate was added to keystore
   

5. アプリケーションを再起動すると、cacerts が変更されます。 
6. これで、LDAP over SSL (つまり、 ldaps://<HOSTNAME>: 636/ ）を使用するように 'URL' を変更して、 アプリケーションをディレクトリ サーバーに接続する時に、'Secure SSL' オプションを使用できるようになります。

Unix

1. JIRA が使用する Java がインストールされているディレクトリに移動します。既定の JAVA インストールを使用する場合、次のように入力します。

   cd $JAVA_HOME
   

2. 次のコマンドを実行します。ここで server-certificate.crt  はディレクトリ サーバー からエクスポートされたファイルの名前です。

   sudo keytool -importcert -keystore ./jre/lib/security/cacerts -file server-certificate.crt

3. keytool からパスワードの入力を求められます。既定のキーストア パスワードは changeit です。

4. Trust this certificate? [no]: というプロンプトが表示されたら、「yes 」と入力し、キーのインポートを確認します。

   Password:
   Enter keystore password:changeit
   Owner: CN=ad01, C=US
   Issuer: CN=ad01, C=US
   Serial number: 15563d6677a4e9e4582d8a84be683f9
   Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012
   Certificate fingerprints:
   MD5:D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
    SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
   Trust this certificate? [no]:yes
   Certificate was added to keystore
   

5. アプリケーションを再起動すると、cacerts が変更されます。 
   
6. これで、LDAP over SSL (つまり、 ldaps://<HOSTNAME>: 636/ ）を使用するように 'URL' を変更して、 アプリケーションをディレクトリ サーバーに接続する時に、'Secure SSL' オプションを使用できるようになります。

Mac OS X

1. Java がインストールされているディレクトリに移動します。通常、次のように入力します。

   cd /Library/Java/Home
   

2. 次のコマンドを実行します。ここで server-certificate.crt  はディレクトリ サーバー からエクスポートされたファイルの名前です。

   sudo keytool -importcert -keystore ./jre/lib/security/cacerts -file server-certificate.crt

3. keytool からパスワードの入力を求められます。既定のキーストア パスワードは changeit です。

4. Trust this certificate? [no]: というプロンプトが表示されたら、「yes 」と入力し、キーのインポートを確認します。

   Password:
   Enter keystore password:changeit
   Owner: CN=ad01, C=US
   Issuer: CN=ad01, C=US
   Serial number: 15563d6677a4e9e4582d8a84be683f9
   Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012
   Certificate fingerprints:
   MD5:D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
    SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
   Trust this certificate? [no]:yes
   Certificate was added to keystore
   

5. アプリケーションを再起動すると、cacerts が変更されます。 
6. これで、LDAP over SSL (つまり、 ldaps://<HOSTNAME>: 636/ ）を使用するように 'URL' を変更して、 アプリケーションをディレクトリ サーバーに接続する時に、'Secure SSL' オプションを使用できるようになります。