SSL を使用した LDAP ユーザ ディレクトリ接続の設定

decimal
casso126jjp
SSL 接続を設定する前に
SSL による LDAP ユーザ ディレクトリ接続を設定する前に、以下の点を確認してください。
  • ディレクトリ サーバが SSL 対応であること。
  • データベース ファイルが Netscape データベース バージョン ファイル形式(cert8.db)であること。ポリシー サーバは、Mozilla LDAP SDK を使用して、LDAP ディレクトリと通信します。
    重要:
    cert8.db データベース ファイルへの証明書のインストールに Microsoft Internet Explorer を使用しないでください。
  • (Active Directory のみ)ユーザ ディレクトリ接続が AD ネームスペースで設定される場合、後続のトピックに記載されている SSL プロセスは適用されません。SSL 接続を確立するときに、AD ネームスペースは、ネイティブの Windows 証明書リポジトリを使用します。AD ネームスペースを使用して SSL で通信する場合
    • 接続が安全に行われるように、ユーザ ディレクトリ接続が設定されていることを確認します。
    • Active Directory インスタンスをホストしているコンピュータで、ルート CA 証明書およびサーバ証明書がサービス証明書ストアに追加されていることを確認します。
証明書データベース ファイルの作成
証明書データベース ファイルを作成するには、ポリシー サーバに含まれている Mozilla Network Security Services (NSS) certutil アプリケーションを使用します。
注:
以下の手順では、タスクを実行するための具体的なオプションおよび引数について詳しく説明します。NSS ユーティリティのオプションおよび引数の全リストについては、NSS プロジェクト ページにある Mozilla マニュアルを参照してください。
重要:
Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
以下の手順に従います。
  1. コマンド プロンプトから、インストール bin ディレクトリに移動します。
    例:
    C:\Program Files\CA\SiteMinder\bin
    注:
    Windows には固有の certutil ユーティリティがあります。ポリシー サーバ bin ディレクトリから作業していることを確認してください。そうしないと、間違えて Windows certutil ユーティリティを実行する場合があります。
  2. 以下のコマンドを入力します。
    certutil -N -d
    certificate_database_directory
    • -N
      cert8.db、key3.db、および secmod.db の証明書データベース ファイルを作成します。
    • -d certificate_database_directory
      certutil ツールが証明書データベース ファイルを作成するディレクトリを指定します。
    注:
    certificate_database_directory によって指定されるディレクトリはすでに存在している必要があります。ファイル パスにスペースがある場合は、そのパスを引用符で囲んでください。
    このユーティリティは、データベース キーを暗号化するためにパスワードの入力を求めます。
  3. パスワードを入力および確認します。
    NSS は、必要な証明書データベース ファイルを作成します。
    • cert8.db
    • key3.db
    • secmod.db
例: 証明書データベース ファイルの作成
certutil -N -d C:\certdatabase
ルート認証機関の証明書データベースへの追加
ルート認証機関(CA)を追加するには、Mozilla Network Security Services (NSS) certutil アプリケーションを使用します。これはポリシー サーバにあります。
注:
以下の手順では、タスクを実行するための具体的なオプションおよび引数について詳しく説明します。NSS ユーティリティのオプションおよび引数の全リストについては、NSS プロジェクト ページにある Mozilla マニュアルを参照してください。
重要:
Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
以下の手順に従います。
  1. コマンド プロンプトから、ポリシー サーバ インストール bin ディレクトリに移動します。
    例:
    C:\Program Files\CA\SiteMinder\bin
    注:
    Windows には固有の certutil ユーティリティがあります。NSS ユーティリティの bin ディレクトリから作業するようにしてください。誤って Windows certutil ユーティリティを実行していることがあります。
  2. 以下のコマンドを実行します。
    certutil -A -n alias -t
    trust_arguments
    -i
    root_CA_path
    -d
    certificate_database_directory
     
    • -A
      証明書データベースに証明書を追加します。
    • -n alias
      証明書の別名を指定します。
      注:
      別名にスペースがある場合は、その別名を引用符で囲んでください。
    • -t trust_arguments
      証明書に適用する信頼属性を指定します。使用可能な 3 つの信頼カテゴリは、「SSL、電子メール、オブジェクト署名」の順番で表記されます。それぞれのカテゴリ位置に、以下の属性引数を 0 個以上使用することができます。
      p
      有効なピア。
      P
      信頼されたピア。この引数は p を意味します。
      c
      有効な CA。
      T
      クライアント証明書を発行する信頼された CA。この引数は c を意味します。
      C
      サーバ証明書を発行する信頼された CA(SSL のみ)。この引数は c を意味します。
      重要:
      これは SSL 信頼カテゴリに必須の引数です。
      u
      証明書は認証または署名に使用できます。
    • -i root_CA_path
      ルート CA ファイルのパスを指定します。パスには証明書名も含める必要があります。証明書の有効な拡張子には、.cert、.cer、.pem などがあります。
      注:
      ファイル パスにスペースがある場合は、そのパスを引用符で囲んでください。
    • -d certificate_database_directory
      証明書データベースが入っているディレクトリのパスを指定します。
      注:
      ファイル パスにスペースがある場合は、そのパスを引用符で囲んでください。
例: 証明書データベースへのルート CA の追加
certutil -A -n "My Root CA" -t "C,," -i C:\certificates\cacert.cer -d C:\certdatabase
証明書データベースへのサーバ証明書の追加
SSL を使用した通信を有効にするには、サーバ証明書を証明書に追加します。Mozilla Network Security Services (NSS) certutil アプリケーションを使用します。これはポリシー サーバで使用できます。
注:
以下の手順では、タスクを実行するための具体的なオプションおよび引数について詳しく説明します。NSS ユーティリティのオプションおよび引数の全リストについては、NSS プロジェクト ページにある Mozilla マニュアルを参照してください。
重要:
Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
以下の手順に従います。
  1. コマンド プロンプトから、ポリシー サーバ インストール bin ディレクトリに移動します。
    例:
    C:\Program Files\CA\SiteMinder\bin
    注:
    Windows には固有の certutil ユーティリティがあります。NSS ユーティリティの bin ディレクトリから作業するようにしてください。誤って Windows certutil ユーティリティを実行していることがあります。
  2. 以下のコマンドを実行します。
    certutil -A -n alias -t
    trust_arguments
    -i server_certificate_path -d
    certificate_database_directory
     
    • -A
      証明書データベースに証明書を追加します。
    • -n alias
      証明書の別名を指定します。
      注:
      別名にスペースがある場合は、その別名を引用符で囲んでください。
    • -t trust_arguments
      信頼引数を指定します。各証明書には、3 つの使用可能な信頼カテゴリがあります。これらのカテゴリを表記する順番は、「SSL、電子メール、オブジェクト署名」です。それぞれのカテゴリ位置に、以下の属性引数を 0 個以上使用することができます。
      p
      有効なピア。
      P
      信頼されたピア。この引数は p を意味します。
      重要:
      これは SSL 信頼カテゴリに必須の引数です。
    • -i server_certificate_path
      サーバ証明書のパスを指定します。パスには証明書名も含める必要があります。証明書の有効な拡張子には、.cert、.cer、.pem などがあります。
      注:
      ファイル パスにスペースがある場合は、そのパスを引用符で囲んでください。
    • -d certificate_database_directory
      証明書データベースが入っているディレクトリのパスを指定します。
      注:
      ファイル パスにスペースがある場合は、そのパスを引用符で囲んでください。
    NSS によって、証明書データベースにサーバ証明書が追加されます。
例: 証明書データベースへのサーバ証明書の追加
certutil -A -n "My Server Certificate" -t "P,," -i C:\certificates\servercert.cer -d C:\certdatabase
証明書データベース内の証明書の一覧表示
証明書が証明書データベースにあることを確認するには、Mozilla Network Security Services (NSS) certutil アプリケーションを使用します。ポリシー サーバにはこのツールが含まれています。
注:
以下の手順では、タスクを実行するための具体的なオプションおよび引数について詳しく説明します。NSS ユーティリティのオプションおよび引数の全リストについては、NSS プロジェクト ページにある Mozilla マニュアルを参照してください。
重要:
Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
以下の手順に従います。
  1. コマンド プロンプトから、ポリシー サーバ インストール bin ディレクトリに移動します。
    例:
    C:\Program Files\CA\SiteMinder\bin
    注:
    Windows には固有の certutil ユーティリティがあります。NSS ユーティリティの bin ディレクトリから作業するようにしてください。誤って Windows certutil ユーティリティを実行していることがあります。
  2. 以下のコマンドを実行します。
    certutil -L -d
    certificate_database_directory
     
    • -L
      証明書データベース内のすべての証明書を一覧表示します。
    • -d certificate_database_directory
      証明書データベースが入っているディレクトリのパスを指定します。
注:
ファイル パスにスペースがある場合は、そのパスを引用符で囲んでください。
このコマンドによって、証明書を証明書データベースに追加する際に指定した、ルート CA の別名、サーバ証明書の別名、および信頼属性が表示されます。
例: 証明書データベース内の証明書の一覧表示
certutil -L -d C:\certdatabase
ユーザ ディレクトリの SSL 接続の設定
ポリシー サーバとユーザ ストアが適切に通信できるように、ユーザ ストアへの SSL 接続を設定します。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. [インフラストラクチャ]-[ディレクトリ]をクリックします。
  3. [ユーザ ディレクトリ]をクリックします。
  4. 対象のユーザ ディレクトリ接続の名前をクリックします。
  5. 下へスクロールし、[変更]をクリックします。
  6. [ディレクトリのセットアップ]領域の[安全な接続]オプションを選択し、[サブミット]をクリックします。
    ユーザ ディレクトリ接続では、SSL を介して通信できます。
ポリシー サーバから証明書データベースへの参照の設定
SSL を使用してユーザ ディレクトリと通信するには、証明書データベースを参照するようにポリシー サーバを設定します。
以下の手順に従います。
  1. ポリシーサーバ管理コンソールを起動します。
    重要:
    Windows サーバ上で、ユーザ アカウント制御 (UAC) が有効な場合は、管理者権限でショートカットを開きます。管理者としてシステムにログインしている場合でも、管理者権限を使用します。詳細については、お使いの
    Single Sign-On
    コンポーネントの「リリース ノート」を参照してください。
  2. [データ]タブをクリックします。
  3. Netscape 証明書データベース ファイルのフィールドに、証明書データベース ファイルへのパスを入力します。
    例:
    C:\certdatabase\cert8.db
    注:
    key3.db ファイルは、cert8.db ファイルと同じディレクトリ内になければなりません。
  4. ポリシー サーバを再起動します。
    ポリシー サーバは、SSL を使用してユーザ ディレクトリと通信できます。
SSL 接続の検証
ユーザ ディレクトリとポリシー サーバが適切に通信しているかどうか判断するには、必ず SSL 接続を確認します。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. [インフラストラクチャ]-[ディレクトリ]をクリックします。
  3. [ユーザ ディレクトリ]をクリックします。
  4. 対象のユーザ ディレクトリ接続の名前をクリックします。
  5. [内容の表示]をクリックします。
    SSL が正しく設定されている場合は、[ディレクトリのコンテンツ]画面が表示され、ユーザ ディレクトリの内容がリスト表示されます。