8月 012012
 
  1. そのままだと秘密鍵を含められないのでOpenSSLを使ってp12形式にしてみる。
    [raw]
    openssl pkcs12 -export -inkey server.key -in server.crt -out server.p12
    [/raw]
  2. インポート時の秘密鍵のパスワードを求められるので、入力。
  3. 作成されたp12ファイルをサーバーローカルに持って行ってインポート。証明書スナップインによるリモート接続だとサポートされていないと怒られる。。
7月 302012
 
参考
メモ
  • LDAPはport389、LDAPSはport636
  • AD DSには特に何もしないでも普通にLDAPアクセスできる
  • LDAPSアクセスするには証明書の用意が必要
  • DC上にAD CSをインストールすれば自動的に利用できるようになる
    • ただし、障害耐性やメンテを考慮すると、DCをCAとするのは推奨されない
  • 独自の証明書をインストールする場合は、DC上のローカルコンピュータの個人ストアにインストールすればよい
    • 2008以降はNTDSサービスアカウントの個人ストアもサポートされ、そちらが優先される
    • 該当する証明書が複数ある場合、期限が長い証明書が自動的に選択される
      • しかしながら、ややこしいので1つのみにすることが推奨されている
  • 2008以降は証明書の切り替えに再起動は不要となった
  • CA証明書は、Windowsストアへの配布はAD DSを利用して配布することが可能だが、Javaのような独自の証明書ストアを持つアプリケーションは参照してくれないという問題がある