ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

LDAPS署名で使用するドメイン コントローラー証明書の要件 認証、接続に失敗する原因

LDAPSで使用するドメイン コントローラー証明書の要件および認証、接続に失敗する原因についての情報になります。

 

LDAPS署名、チャネルバインディングの強制がパッチで配信されなくなったので、システム的にセキュリティを強化する場合は、LDAPSの署名を設定したほうがいいですね。

 

ADCSを導入している場合は、ドメインコントローラ証明書が自動配布されるので、あまり意識する必要がありませんが、サードパーティー製の証明書を利用する場合は、注意が必要です。

 

LDAPS署名で使用するドメイン コントローラー証明書の要件については公式情報が参考になります。

 

情報元はこちら

ドメイン コントローラーの要件 - Windows Server | Microsoft Docs

 

サポート

・現在、Microsoft はスマート カード サインインでのみサード パーティのドメイン コントローラー証明書の使用をサポートしています。
・現在、Microsoftドメイン コントローラー間の SMTP (簡易メール転送プロトコル) レプリケーションをサポートするためにサード パーティ CA からの証明書の使用をサポートしています。
・サード パーティ CA では、ドメイン コントローラーまたはコンピューター証明書の自動登録と更新はサポートされていません。

 

 

●メイン コントローラーに証明書を手動で発行できます。 ドメイン コントローラーの証明書は、次の特定の形式要件を満たしている必要があります。●メイン コントローラーに証明書を手動で発行できます。 ドメイン コントローラーの証明書は、次の特定の形式要件を満たしている必要があります。証明書には、有効な証明書失効リスト (CRL) を指す CRL 配布ポイント拡張が必要です。
・必要に応じて、証明書のサブジェクト セクションには、サーバー オブジェクトのディレクトリ パス (識別名) を含む必要があります。次に例を示します。CN=server1.northwindtraders.com OU=Domain Controllers DC=northwwindtraders DC=com

・証明書の [キー使用法] セクションには、次の情報が含まれている必要があります。デジタル署名、キー暗号化

・必要に応じて、[証明書の基本制約] セクションに次の情報を含む必要があります。[Subject Type=End Entity, Path Length Constraint=None]
・証明書の拡張キー使用法セクションには、次の情報が含まれている必要があります。
クライアント認証 (1.3.6.1.5.5.7.3.2)サーバー認証 (1.3.6.1.5.5.7.3.1)[証明書サブジェクトの代替名] セクションには、ドメイン ネーム システム (DNS) 名が含まれている必要があります。 SMTP レプリケーションを使用する場合、
・証明書のサブジェクトの代替名セクションには、ディレクトリ内のドメイン コントローラー オブジェクトのグローバル一意識別子 (GUID) も含まれている必要があります。 以下に例を示します。その他の名前: 1.3.6.1.4.1.311.25.1 = ac 4b 29 06 aa d6 5d 4f a9 9c 4c bc b0 6a 65 d9 DNS Name=server1.northwindtraders.com

・証明書テンプレートには、基本のパネル (BMP) データ値 DomainController を持つ拡張機能 が必要です。
 注意
次 dsstore.exe -dcmon コマンド は、これらの拡張機能がない場合、証明書を認識します。
●Schannel Cryptographic Service Provider (CSP) を使用してキーを生成する必要があります。
ドメイン コントローラー証明書は、ローカル コンピューターの証明書ストアにインストールする必要があります。

 

上記の要件を満たしていない場合は、当然ながら認証、接続に失敗することになります。動作確認はイベントビューアでエラーがでていないことと、ドメインコントローラがインストールされているサーバー上でldp.exeを使用することで確認が可能です。

 

電気フライヤー VPCOK?揚げ物?油無し?ノンフライヤー?エアフライヤー?10L容量?七つ付属品 ガラス?スマートディスプレイ&タッチパネル 日本語説明書付き