知られざるActive Directory技術の「舞台裏」

第4回 LDAPを使ってActive Directoryを制御しよう[その2:ldifde]

この記事を読むのに必要な時間:およそ 6 分

Active Directory証明書サービスを使って,サーバ証明書を取得する

サーバ証明書は一般に第三者の認証機関(たとえばベリサイン社など)から有料で取得しますが,高価であること,また法人組織でない個人が取得するのは難しいといった側面があります。イントラネットのみといった閉じられた環境や,試験的に利用するような場合,Active Directory証明書サービスを使って,サーバ証明書を取得する方法があります。今回はこの方法を使って,LDAPの暗号化を行います。

まず,WindowsのドメインコントローラにActive Directory証明書サービスをインストールします。以下,Windows Server 2008 R2の設定となりますが,⁠サーバーマネージャ][役割の追加]から[Active Directory証明書サービス]をインストールします。このとき,いくつかの注意点があります。

Active Directory証明書サービスは,"エンタープライズCA"または"スタンドアロンCA"のどちらか選択することができます。エンタープライズCAはイントラネット上で利用する証明書サービスで,Active Directoryを使って自動的に証明書を配布できるといった利点があります。一方スタンドアロンCAは外部で利用される証明機関と同じように,手動による証明書の要求と取得を行いますが,セキュリティ的に堅牢といった特長があります。ここでは,外部からサーバ証明書を取得するケースを考え,スタンドアロンCAを選択します。

また,この際,スタンドアロンCAから簡単に証明書の要求とインストールが行えるよう,⁠証明機関Web登録]役割サービスをあわせてインストールします。⁠証明機関Web登録]ではIIS7.5Webサーバに専用のWebサービスが実装され,証明書の要求やインストールをブラウザ経由で行うことができるため,簡単に証明書の要求やインストールが可能です。そのため,この役割サービスを選択するとIIS7.5がインストールされます。

[Active Directory証明書サービス]をインストールする場合,⁠サーバーの役割の選択]画面で[Active Directory証明書サービス]を選択図1⁠,⁠役割サービスの選択]画面で[証明機関]および[証明機関Web登録]を選択し,⁠セットアップの種類]画面で[スタンドアロンCA]を選択すれば図4⁠,残りの項目はデフォルトの設定のままで,特に問題はありません。

図1 ⁠Active Directory証明書サービス]にチェック

図1 [Active Directory証明書サービス]にチェック

図2 ⁠必要な役割とサービスを追加]に進む

図2 [必要な役割とサービスを追加]に進む

図3 ⁠役割サービスの選択][証明機関]⁠証明機関Web登録]をチェック

図3 [役割サービスの選択]で[証明機関][証明機関Web登録]をチェック

図4 ⁠セットアップの種類][スタンドアロンCA]をチェック

図4 [セットアップの種類]で[スタンドアロンCA]をチェック

Active Directory証明書サービスWebサイトからサーバ証明書を取得する

上記の要領で[Active Directory証明書サービス]のインストールが完了すると,Active Directory証明書サービスWebページ(http://localhost/certsrv/)からブラウザ経由で証明書の要求が可能になります。ブラウザ経由で証明書を要求する場合,Webサイトに用意されたActive Xコントロール(Internet Explorer用のアドオンプログラムの一種)がブラウザ側で実行可能な必要がありますが,Windows Server 2008 R2のブラウザ(IE8)ではこのActive Xコントロールが実行できない設定になっているため,ブラウザのセキュリティ設定を最初に変更します。手順は次のとおりです。

  • ①ブラウザのメニューバーの[ツール⁠⁠→⁠インターネットオプション⁠⁠→⁠セキュリティ]タブにある,⁠ローカルイントラネット]をクリックして,⁠レベルのカスタマイズ]をクリックします。

    図5 ⁠ローカルイントラネット][レベルのカスタマイズ]をクリック

    図5 [ローカルイントラネット]の[レベルのカスタマイズ]をクリック

  • [セキュリティ設定-ローカルイントラネットゾーン]画面の[Active Xコントロールとプラグイン⁠⁠→⁠スクリプトを実行しても安全だとマークされていないActive Xコントロールの初期化とスクリプトの実行][有効]に設定します。

    図6 ⁠スクリプトを実行しても安全だとマークされていないActive Xコントロールの初期化とスクリプトの実行][有効]

    図6 [スクリプトを実行しても安全だとマークされていないActive Xコントロールの初期化とスクリプトの実行]を[有効]に

著者プロフィール

小鮒通成(こぶなみちなり)

Active DirectoryおよびWindows Serverに関するコンサルタント。あわせて各種コミュニティ活動や執筆活動を行っており,Microsoft Most Valuable Professional (Windows Server System - Directory Services) 表彰を5年連続で受けている。現在はNTTデータ先端技術株式会社に勤務。