おそらく今年中には配信されるLDAP署名と LDAP チャネルバインディングが有効化。ちょっと勘違いしていた部分があったのですが、LDAPSはデフォルトで使用はできないのですが、証明書を置くことでLDAPS通信はできるそうです。これは本当に知らなかったです。LDAP署名はLDAPS強制的な感じですかね。今は、LDAPSとLDAPが併用できますね。
このあたりはもう少し整理して情報を提供しようと思いますが、今回は、そのLDAPSを使用するために必要な証明書のネタです。
証明書を用意する場合、マイクロソフトの製品であるADCSを使用すると、構築はそれほど難しくはないですが、ドメインコントローラー証明書を自動配布することができます。
これ、個人的には一番楽にLDAPSの証明書の準備ができると思いますが、ADCSはADと連携することもあり、運用後のトラブル対応は知識がないとちょっと大変です。普通に使っていれば大丈夫ですが、廃止したい場合も、アンインストール(情報削除)の手順が複雑だったりするので、OpenSSLなどのサードパーティの証明書を使うという手段もあります。
その場合に参考になるのがこちらです。
サードパーティの証明機関との SSL 経由で LDAP を有効にする方法
LDAPS を有効にするには、次の要件を満たしている証明書をインストールする必要があります。
①LDAPS 証明書は、ローカルコンピューターの個人証明書ストア (コンピューターの MY certificate store とも呼ばれます) にあります。
②証明書と一致する秘密キーがローカルコンピューターのストアに存在し、証明書に適切に関連付けられている。 秘密キーの秘密キーの保護を強力にすることはできません。
拡張キー使用の拡張機能には、サーバー認証 (1.3.6.1.5.5.7.3.1) オブジェクト識別子 (OID とも呼ばれます) が含まれています。
③Active Directory のドメインコントローラーの完全修飾ドメイン名 (DC01 など)。DOMAIN.COM) は、次のいずれかの場所に表示されている必要があります。
[件名] フィールドの共通名 (CN)。
サブジェクトの別名の拡張子の DNS エントリ。
④証明書は、ドメインコントローラーと LDAPS クライアントが信頼している CA によって発行された。 [信頼] は、発行 CA がチェーンされているルート CA を信頼するようにクライアントとサーバーを構成することによって確立されます。
Schannel 暗号化サービスプロバイダー (CSP) を使ってキーを生成する必要があります。
上記の条件を満たしていればOpenSSLの証明書でもLDAPSにて問題なく通信させることができます。しかし、③が意外と分かりにくいです。
こちらについてはフォーラムに詳しく書かれています。
LDAPS用証明書について
以下の回答が参考になりますね、
この件ですが、たぶんしたのページをみて、CSRを作ったのだと思います。
うえのrequest.infで足りないのは、おそらくSAN(Subject Alternative Name)の設定です。うえの資料にある<CN=FQDN>Subjectだと実質うまくいかないので、SANをDNS Nameで指定するよう、CSRに加える必要があります。
追記:もちろんSANに入れるのはサーバーのFQDNです。
実はSAN形式はレジストリを設定変更する必要があります。以下はSAN形式を有効にする手順です。
> certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
> net stop certsvc
> net start certsvc
この後、ようやく、DNS Nameを指定して別名の証明書を発行できるようになるのです。意外と難しいですよね。
