Active Directory への SSL 接続の設定

Prerequisites

証明書を生成するには、接続している Windows ドメイン コントローラーに、以下のコンポーネントをインストールする必要があります。

ステップ 1.Active Directory 証明書サービスのインストール

証明書サービスがすでにインストールされている場合は、下のステップ 2 に進みます。下のスクリーンショットは、サーバー 2008 のものですが、サーバー 2000 および 2003 についても、このプロセスは同じです。

1. 管理者として Active Directory サーバーにログインします。
2. スタートをクリックして、管理ツールにカーソルを合わせ、次にサーバー マネージャーをクリックします。
3. In the Roles Summary section, click Add Roles.
   
   
   
4. On the Select Server Roles page, select the Active Directory Certificate Services check box. Click Next twice.
   
   
5. On the Select Role Services page, select the Certification Authority check box, and then click Next.
   
   
6. On the Specify Setup Type page, click Enterprise, and then click Next.
   
   
7. On the Specify CA Type page, click Root CA, and then click Next.
   
   
8. On the Set Up Private Key and Configure Cryptography for CA pages, you can configure optional configuration settings, including cryptographic service providers. However, the default values should be fine. Click Next twice.
   
   
9. In the Common name for this CA box, type the common name of the CA, and then click Next.
   
   
10. On the Set Validity Period page, accept the default values or specify other storage locations for the certificate database and the certificate database log, and then click Next.
    
    
11. After verifying the information on the Confirm Installation Selections page, click Install.
    
    
12. 結果画面上の情報を確認し、インストールが成功したことを確かめます。
    
    

ステップ 2.サーバー証明書の取得

上記のステップは、Microsoft Active Directory サーバーに認証局（CA）をインストールする方法に関する説明です。次に、アプリケーション サーバーを実行する JDK が使用する承認済み証明書の一覧に、Microsoft Active Directory サーバーの SSL 証明書を追加する必要があります。

Active Directory 証明書は自動的に生成され、Active Directory サーバーのツリー構造と同様のファイル フォーマットに類似する形式で C:\ ドライブのルートに配置されます。例: c:\ad2008.ad01.atlassian.com_ad01.crt。

また、Active Directory サーバー上で、次のコマンドを実行することにより、証明書をエクスポートできます。

certutil -ca.cert client.crt

ステップ 3.サーバー証明書のインポート

アプリケーション サーバーがディレクトリの証明書を信頼できるようにするには、証明書を Java ランタイム環境にインポートする必要があります。JDK は信頼済みの証明書をキーストアと呼ばれるファイルに格納します。既定のキーストア ファイルは cacerts と呼ばれ、Java インストールの jre\lib\security サブディレクトリに置かれます。

以下の例では、ディレクトリ サーバーからエクスポートされる証明書ファイルを server-certificate.crt と表しています。実際に生成された名前と一致するよう、以降の手順を修正する必要があります。

Windows

1. Java がインストールされているディレクトリに移動します。このディレクトリは、C:\Program Files\Java\jdk1.6.0_45 のようになります。

2. Run the command below, where server-certificate.crt is the name of the file from your directory server:

   keytool -import -keystore .\jre\lib\security\cacerts -file server-certificate.crt

3. keytool からパスワードの入力を求められます。既定のキーストア パスワードは changeit です。

4. When prompted Trust this certificate? [no]: enter yes to confirm the key import:

   Enter keystore password:changeit
   Owner: CN=ad01, C=US
   Issuer: CN=ad01, C=US
   Serial number: 15563d6677a4e9e4582d8a84be683f9
   Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012
   Certificate fingerprints:
   MD5:D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
   SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
   Trust this certificate? [no]:yes
   Certificate was added to keystore
   

You may now use the 'Secure SSL' option when connecting your application to your directory server.

Unix

1. Navigate to the directory in which Java is installed. cd $JAVA_HOME will usually get you there.

2. Run the command below, where server-certificate.crt is the name of the file from your directory server:

   sudo keytool -import -keystore ./jre/lib/security/cacerts -file server-certificate.crt

3. keytool からパスワードの入力を求められます。既定のキーストア パスワードは changeit です。

4. When prompted Trust this certificate? [no]: enter yes to confirm the key import:

   Password:
   Enter keystore password:changeit
   Owner: CN=ad01, C=US
   Issuer: CN=ad01, C=US
   Serial number: 15563d6677a4e9e4582d8a84be683f9
   Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012
   Certificate fingerprints:
   MD5:D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
    SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
   Trust this certificate? [no]:yes
   Certificate was added to keystore
   

You may now use the 'Secure SSL' option when connecting your application to your directory server.

Mac OS X

1. Navigate to the directory in which Java is installed. This is usually /Library/Java/Home.

2. Run the command below, where server-certificate.crt is the name of the file from your directory server:

   sudo keytool -import -keystore ./jre/lib/security/cacerts -file server-certificate.crt

3. keytool からパスワードの入力を求められます。既定のキーストア パスワードは changeit です。

4. When prompted Trust this certificate? [no]: enter yes to confirm the key import:

   Password:
   Enter keystore password:changeit
   Owner: CN=ad01, C=US
   Issuer: CN=ad01, C=US
   Serial number: 15563d6677a4e9e4582d8a84be683f9
   Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012
   Certificate fingerprints:
   MD5:D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
    SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
   Trust this certificate? [no]:yes
   Certificate was added to keystore
   

You may now use the 'Secure SSL' option when connecting your application to your directory server.

 NOTE: After importing the certificate, you'll need to restart your application so that it can flush the cache and load the modifications in the cacerts file.