LDAP データ ストアへの SSL 接続の設定

目次
casso11jp
目次
2
LDAP ディレクトリ ストアへの SSL 接続を設定するには、証明書データベース ファイルを使用するように
Single Sign-On
を設定する必要があります。
SSL 前提条件の確認
以下の SSL 前提条件を考慮します。
  • ディレクトリ サーバで SSL が有効になっていることを確認します。詳細については、ベンダー固有のドキュメントを参照してください。
  • Single Sign-On
    では、LDAP ディレクトリと通信するために Mozilla LDAP SDK を使用し、データベース ファイルが Netscape バージョン ファイル形式(cert8.db)になっている必要があります。
    重要:
    cert8.db データベース ファイルへの証明書のインストールに Microsoft Internet Explorer を使用しないでください。
証明書データベース ファイルの作成
証明書データベース ファイルを作成するには、ポリシー サーバに含まれている Mozilla Network Security Services (NSS) certutil アプリケーションを使用します
casso11jp
注:
以下の手順では、タスクを実行するための具体的なオプションおよび引数について詳しく説明します。NSS ユーティリティのオプションおよび引数の全リストについては、NSS プロジェクト ページにある Mozilla マニュアルを参照してください。
casso11jp
重要:
Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
以下の手順に従います。
  1. コマンド プロンプトから、インストール bin ディレクトリに移動します。
    例:
    C:\Program Files\CA\siteminder\bin
    注:
    Windows には固有の certutil ユーティリティがあります。ポリシー サーバ bin ディレクトリから作業していることを確認してください。そうしないと、間違えて Windows certutil ユーティリティを実行する場合があります。
  2. 以下のコマンドを入力します。
    certutil -N -d 
    certificate_database_directory
    • -N
      cert8.db、key3.db、および secmod.db の証明書データベース ファイルを作成します。
    • -d
      certificate_database_directory
      certutil ツールが証明書データベース ファイルを作成するディレクトリを指定します。
    注:
    certificate_database_directory
    によって指定されるディレクトリはすでに存在している必要があります。ファイル パスにスペースがある場合は、そのパスを引用符で囲んでください。
    このユーティリティは、データベース キーを暗号化するためにパスワードの入力を求めます。
  3. パスワードを入力および確認します。
    NSS は、必要な証明書データベース ファイルを作成します。
    • cert8.db
    • key3.db
    • secmod.db
例: 証明書データベース ファイルの作成
certutil -N -d C:\certdatabase
ルート認証機関の証明書データベースへの追加
ルート認証機関(CA)を追加するには、Mozilla Network Security Services (NSS) certutil アプリケーションを使用します。これはポリシー サーバにあります。
casso11jp
注:
以下の手順では、タスクを実行するための具体的なオプションおよび引数について詳しく説明します。NSS ユーティリティのオプションおよび引数の全リストについては、NSS プロジェクト ページにある Mozilla マニュアルを参照してください。
casso11jp
重要:
Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
以下の手順に従います。
  1. コマンド プロンプトから、ポリシー サーバ インストール bin ディレクトリに移動します。
    例:
    C:\Program Files\CA\siteminder\bin
    注:
    Windows には固有の certutil ユーティリティがあります。NSS ユーティリティの bin ディレクトリから作業するようにしてください。誤って Windows certutil ユーティリティを実行していることがあります。
  2. 以下のコマンドを実行します。
    certutil -A -n 
    alias 
    -t 
    trust_arguments
     -i 
    root_CA_path
     -d 
    certificate_database_directory
    • -A
      証明書データベースに証明書を追加します。
    • -n
      alias
      証明書の別名を指定します。
      注:
      別名にスペースがある場合は、その別名を引用符で囲んでください。
    • -t
      trust_arguments
      証明書に適用する信頼属性を指定します。使用可能な 3 つの信頼カテゴリは、「SSL、電子メール、オブジェクト署名」の順番で表記されます。それぞれのカテゴリ位置に、以下の属性引数を 0 個以上使用することができます。
      p
      有効なピア。
      P
      信頼されたピア。この引数は p を意味します。
      c
      有効な CA。
      T
      クライアント証明書を発行する信頼された CA。この引数は c を意味します。
      C
      サーバ証明書を発行する信頼された CA(SSL のみ)。この引数は c を意味します。
      重要:
      これは SSL 信頼カテゴリに必須の引数です。
      u
      証明書は認証または署名に使用できます。
    • -i
      root_CA_path
      ルート CA ファイルのパスを指定します。パスには証明書名も含める必要があります。証明書の有効な拡張子には、.cert、.cer、.pem などがあります。
      注:
      ファイル パスにスペースがある場合は、そのパスを引用符で囲んでください。
    • -d
      certificate_database_directory
      証明書データベースが入っているディレクトリのパスを指定します。
      注:
      ファイル パスにスペースがある場合は、そのパスを引用符で囲んでください。
例: 証明書データベースへのルート CA の追加
certutil -A -n "My Root CA"  -t "C,," -i C:\certificates\cacert.cer -d C:\certdatabase
証明書データベースへのサーバ証明書の追加
SSL を使用した通信を有効にするには、サーバ証明書を証明書に追加します。サーバ証明書が認証局によって発行された場合は、各認証局からのルート証明書も証明書データベースに追加されます。
Mozilla Network Security Services (NSS) certutil アプリケーションを使用します。これはポリシー サーバで使用できます。
casso11jp
注:
以下の手順では、タスクを実行するための具体的なオプションおよび引数について詳しく説明します。NSS ユーティリティのオプションおよび引数の全リストについては、NSS プロジェクト ページにある Mozilla マニュアルを参照してください。
casso11jp
重要:
Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
以下の手順に従います。
  1. コマンド プロンプトから、ポリシー サーバ インストール bin ディレクトリに移動します。
    例:
    C:\Program Files\CA\siteminder\bin
    注:
    Windows には固有の certutil ユーティリティがあります。NSS ユーティリティの bin ディレクトリから作業するようにしてください。誤って Windows certutil ユーティリティを実行していることがあります。
  2. 以下のコマンドを実行します。
    certutil -A -n 
    alias 
    -t 
    trust_arguments 
    -i 
    server_certificate_path 
    -d 
    certificate_database_directory
    • -A
      証明書データベースに証明書を追加します。
    • -n
      alias
      証明書の別名を指定します。
      注:
      別名にスペースがある場合は、その別名を引用符で囲んでください。
    • -t
      trust_arguments
      信頼引数を指定します。各証明書には、3 つの使用可能な信頼カテゴリがあります。これらのカテゴリを表記する順番は、「SSL、電子メール、オブジェクト署名」です。それぞれのカテゴリ位置に、以下の属性引数を 0 個以上使用することができます。
      p
      有効なピア。
      P
      信頼されたピア。この引数は p を意味します。
      重要:
      これは SSL 信頼カテゴリに必須の引数です。
    • -i
      server_certificate_path
      サーバ証明書のパスを指定します。パスには証明書名も含める必要があります。証明書の有効な拡張子には、.cert、.cer、.pem などがあります。
      注:
      ファイル パスにスペースがある場合は、そのパスを引用符で囲んでください。
    • -d
      certificate_database_directory
      証明書データベースが入っているディレクトリのパスを指定します。
      注:
      ファイル パスにスペースがある場合は、そのパスを引用符で囲んでください。
    NSS によって、証明書データベースにサーバ証明書が追加されます。
例: 証明書データベースへのサーバ証明書の追加
certutil -A -n "My Server Certificate" -t "P,," -i C:\certificates\servercert.cer -d C:\certdatabase
証明書データベース内の証明書の一覧表示
証明書が証明書データベースにあることを確認するには、Mozilla Network Security Services (NSS) certutil アプリケーションを使用します。ポリシー サーバにはこのツールが含まれています。
casso11jp
注:
以下の手順では、タスクを実行するための具体的なオプションおよび引数について詳しく説明します。NSS ユーティリティのオプションおよび引数の全リストについては、NSS プロジェクト ページにある Mozilla マニュアルを参照してください。
casso11jp
重要:
Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
以下の手順に従います。
  1. コマンド プロンプトから、ポリシー サーバ インストール bin ディレクトリに移動します。
    例:
    C:\Program Files\CA\siteminder\bin
    注:
    Windows には固有の certutil ユーティリティがあります。NSS ユーティリティの bin ディレクトリから作業するようにしてください。誤って Windows certutil ユーティリティを実行していることがあります。
  2. 以下のコマンドを実行します。
    certutil -L -d 
    certificate_database_directory
    • -L
      証明書データベース内のすべての証明書を一覧表示します。
    • -d
      certificate_database_directory
      証明書データベースが入っているディレクトリのパスを指定します。
casso11jp
注:
ファイル パスにスペースがある場合は、そのパスを引用符で囲んでください。
このコマンドによって、証明書を証明書データベースに追加する際に指定した、ルート CA の別名、サーバ証明書の別名、および信頼属性が表示されます。
例: 証明書データベース内の証明書の一覧表示
certutil -L -d C:\certdatabase
ポリシー サーバから証明書データベースへの参照の設定
SSL を使用してユーザ ディレクトリと通信するには、証明書データベースを参照するようにポリシー サーバを設定します。
以下の手順に従います。
  1. ポリシーサーバ管理コンソールを起動します。
    casso11jp
    重要:
    Windows サーバ上で、ユーザ アカウント制御 (UAC) が有効な場合は、管理者権限でショートカットを開きます。管理者としてシステムにログインしている場合でも、管理者権限を使用します。詳細については、お使いの
    Single Sign-On
    コンポーネントの「リリース ノート」を参照してください。
  2. [データ]タブをクリックします。
  3. Netscape 証明書データベース ファイルのフィールドに、証明書データベース ファイルへのパスを入力します。
    例:
    C:\certdatabase\cert8.db
    注:
    key3.db ファイルは、cert8.db ファイルと同じディレクトリ内になければなりません。
  4. ポリシー サーバを再起動します。
    ポリシー サーバは、SSL を使用してユーザ ディレクトリと通信できます。