参考
- Windows の CA 機能 (AD CS) についてのまとめ | ヘタレな趣味の道
- サード パーティの証明機関が SSL 経由で LDAP を有効にする方法
- How to enable LDAP over SSL with a third-party certification authority
- Event ID 1220 — LDAP over SSL
- LDAP over SSL (LDAPS) Certificate – TechNet Articles – United States (English) – TechNet Wiki
- JenkinsでAD連携できるまでの道のり – Togetter
メモ
- LDAPはport389、LDAPSはport636
- AD DSには特に何もしないでも普通にLDAPアクセスできる
- LDAPSアクセスするには証明書の用意が必要
- DC上にAD CSをインストールすれば自動的に利用できるようになる
- ただし、障害耐性やメンテを考慮すると、DCをCAとするのは推奨されない
- 独自の証明書をインストールする場合は、DC上のローカルコンピュータの個人ストアにインストールすればよい
- 2008以降はNTDSサービスアカウントの個人ストアもサポートされ、そちらが優先される
- 該当する証明書が複数ある場合、期限が長い証明書が自動的に選択される
- しかしながら、ややこしいので1つのみにすることが推奨されている
- 2008以降は証明書の切り替えに再起動は不要となった
- CA証明書は、Windowsストアへの配布はAD DSを利用して配布することが可能だが、Javaのような独自の証明書ストアを持つアプリケーションは参照してくれないという問題がある