付録 E ‐ セキュリティで保護された LDAP および SMTP 複製を行うためのドメイン コントローラでのデジタル証明書の構成
トピック
背景 エンタプライズの CA のインストール LDAP または SMTP 用のデジタル証明書のテスト ドメイン コントローラ証明書の要件 詳細情報
背景
デジタル証明書は、証明書の書式の要件を満たす任意の証明機関 (CA: Certificate Authority) からドメイン コントローラ (DC: Domain Controller) に対して発行できます。正しい書式のデジタル証明書を簡単に発行するための方法の 1 つは、まず Microsoft Windows 2000 エンタープライズの CA (つまり、Microsoft Active Directory に登録された CA) を構成した後、自動的に DC を登録するように Active Directory で DC の証明書を構成する方法です。
Windows 2000 Server 以降のドメイン コントローラにデジタル証明書をインストールする理由は少なくとも 2 つあります。SMTP (Simple Mail Transfer Protocol) 複製をサポートすることと、セキュリティで保護された LDAP (Lightweight Directory Access Protocol) トランザクションをサポートすることです。
SMTP 複製のためのデジタル証明書
Active Directory では、リモート プロシージャ コール (RPC: Remote Procedure Call) (既定) または SMTP の 2 つのプロトコルによって、ドメイン コントローラ間でディレクトリ情報を複製します。
RPC による複製は多くの企業環境に適していますが、遅延の大きい、または帯域幅の狭いネットワークで接続された Active Directory サイト間では、SMTP 複製のほうが適しています。
SMTP はクリアテキスト プロトコルであり、ディレクトリ複製情報は機密情報と見なされるので、SMTP 複製は、意図的に、DC がネットワーク上で SMTP トラフィックを暗号化できる場合にのみ開始できるようになっています。選択できる暗号化の方法は、Secure/MIME (S/MIME) です。S/MIME は、メッセージの暗号化をサポートする MIME (Multipurpose Internet Mail Extensions) プロトコルの一種です。Windows 2000 では、複製は複製リンクのどちらの方向にも行われるので、各 DC にデジタル証明書が必要です。
SMTP 複製を有効にするすべての DC は、DC の証明書に登録されている必要があります。各 SMTP 複製パートナーは、[Active Directory サイトとサービス] MMC (Microsoft Management Console) スナップインで個々に構成されるので、どの DC で証明書が必要であるかが解ります。ただし、通常は、すべての DC に対して証明書を単に発行するほうが便利です。特に、自動登録機能を使って ドメインコントローラ組織単位 (OU) のすべてのメンバを登録する Active Directory グループ ポリシーを使用するような場合です。
すべての DC がデジタル証明書に登録されると、IP (Internet Protocol) 複製よりも SMTP 複製を優先するように構成されている DC では SMTP 複製が自動的に開始されます。
セキュリティで保護された LDAP のためのデジタル署名
Windows 2000 ドメイン コントローラは、TCP ポート 339 上の LDAP をサポートしており、そのネットワーク上での送信はクリアテキストで行われます。また、DC は TCP ポート 636 上での LDAP の SSL (Secure Sockets Layer) 暗号化もサポートしており、LDAP 認証の暗号化および LDAP データの要求および応答を暗号化することもできます。これは、企業用の LDAP アプリケーションではごく一般的な要件です。なぜなら、LDAP アプリケーションによってネットワーク上に送信される情報は、LDAP 要求/応答データだけではなく、認証 ID やパスワードも含む、非常に重要な情報である場合があるからです。
ただし、LDAP 要求について SSL を有効にするには、DC に特定の種類のデジタル証明書をインストールする必要があります。このデジタル証明書は、LDAP アプリケーションが正しく動作するように、適切な書式である必要があります。
SSL 接続を行う可能性があるすべての DC を DC 証明書に登録する必要があります。一部の LDAP アプリケーションは、単一の LDAP サーバーに対して LDAP 要求を行うように構成されており、このようなアプリケーションは毎回同じ DC に対して要求を行います。また、Active Directory に対応している LDAP アプリケーションもあります。このため、ドメイン内またはフォレスト内のすべての DC は、LDAP の SSL 要求を受信する可能性があります。さまざまな LDAP アプリケーションのシナリオをサポートするために、すべての DC を DC 証明書に登録することをお勧めします。
最後に、SSL 接続を受け付けるように DC を構成した後、SSL 接続を要求するように LDAP アプリケーションを構成する必要があります。DC では、LDAP 接続に SSL 接続を強制することはできません。アプリケーションが SSL を 要求 した時に、SSL をサポート するように DC を構成することのみ可能です
エンタプライズの CA のインストール
エンタプライズの CA のインストール
このプロセスの最初のフェーズは、エンタプライズの CA をインストールし、ドメイン コントローラ証明書テンプレートが有効であることを確認することです。
Active Directory フォレストにまだエンタプライズの CA をインストールしていない場合は、Active Directory フォレストに含まれるいずれかのドメインのメンバである Windows 2000 サーバーにエンタプライズの CA をインストールします。エンタプライズの CA のインストールの詳細については、『Step-by-Step Guide to Setting Up a Certification Authority』(https://technet.microsoft.com/ja-jp/windowsserver/2000/default.aspx ) を参照してください。
利用可能なドメイン コントローラ証明書テンプレートの確認
ドメイン コントローラ証明書テンプレートが利用可能かどうかを確認するには、以下の手順に従ってください。
ドメイン コントローラ証明書テンプレートが利用可能であることを確認するには
サーバー上で**[証明機関] MMC スナップイン**を開きます。
CA の名前 (Contoso Enterprise Root CA など) をダブルクリックし、[ポリシーの設定] フォルダをクリックします。
右側のペインに [DomainController] が表示されていることを確認します。
自動登録の構成
次に、各ドメインのグループ ポリシーで自動登録を構成する必要があります。
各ドメインのグループ ポリシーで自動登録を構成するには
DC 証明書の自動登録を有効にする各ドメインで、グループ ポリシー エディタで [Default Domain Controller Policy] を開きます。
[コンピュータの構成] の [Windows の設定] をクリックします。
[セキュリティの設定] をクリックし、[公開キーのポリシー] をクリックします。
[自動証明書要求の設定] をクリックします。
[自動証明書要求の設定] フォルダを右クリックし、ショートカット メニューの [New] をクリックして、[自動証明書要求] をクリックします。
自動証明書要求セットアップ ウィザードが開始されます。[次へ] をクリックします。
要求で使用する証明書テンプレートを選択します。この例では、[ドメイン コントローラ] を選択し、[次へ] をクリックします。
証明書要求の送信先の Windows 2000 ドメイン上の CA を選択します。この例では、エンタープライズのルート CA を選択します。エンタープライズには複数の CA が存在する場合があります。[次へ] をクリックします。
注 エンタプライズの CA として Active Directory に登録されていない CA は、この一覧には表示されません。
[完了] をクリックして、自動証明書要求を作成します。証明書の要求は、DC でグループ ポリシー オブジェクト (GPO: Group Policy Object) が更新されたときに行われます。
証明書登録のアクセス許可の割り当て
最後に、ドメインの各 Domain Controllers セキュリティ グループで DC 証明書を登録するためのアクセス許可を付与する必要があります。
DC グループが DC 証明書を登録するためのアクセス許可を付与するには
Active Directory サイトとサービス MMC スナップインを起動します。
[表示] メニューの [サービス ノードの表示] をクリックします。
[Services] ノード、[Public Key Services] ノード、[証明書テンプレート] の順にダブルクリックします。
[DomainController] を右クリックし、[プロパティ] をクリックして、[セキュリティ] タブをクリックします。
注 CA のドメイン内の Domain Controllers グループは、既にこのテンプレートに対する 登録 のアクセス許可を持っています。フォレスト内の他のドメインのすべての Domain Controllers グループに 登録 のアクセス許可を付与する必要があります。そうしないと、それらの DC には DomainController 証明書を正しく要求するためのアクセス許可がなく、自動登録しようとしても失敗します。
各ドメインの各 Domain Controllers グループについて、[追加] をクリックし、[Look in] ボックスの一覧でドメインを選択します。次に、そのドメイン内の [Domain Controllers] グループを選択し、[追加] をクリックして、[OK] をクリックします。
LDAP または SMTP 用のデジタル証明書のテスト
SSL で接続された LDAP アプリケーションのテスト
ドメイン コントローラが LDAP 要求のための SSL 接続が可能な場合、各 LDAP アプリケーションでは SSL 通信 (TCP ポート 636) を既定値とするように再構成する必要があります。
この例では、LDAP アプリケーションは Microsoft Outlook Express のアドレス帳です。Outlook Express は、Active Directory フォレストの一部ではない Windows 2000 ワークステーションにインストールされています。この例では、DC 証明書を発行した CA を信頼するために、クライアントをどのように構成できるかを示します。
アドレス帳の構成
この例は、証明書が、クライアントによって信頼されている CA から DC に既に発行されている場合にのみ機能します。DC 証明書が正しく機能していることを確認するには、以下の手順に従ってください。
ドメイン コントローラ証明書が正しく機能していることを確認するには
必要な証明書を DC にインストールした後、[スタート] ボタンをクリックし、[検索] をポイントします。次に、[人] をクリックします。
[探す場所] ドロップダウンリストから Active Directory をクリックします。
[Active Directory] を右クリックし、[プロパティ] をクリックします。
[Active Directory のプロパティ] ダイアログ ボックスの [サーバー名] ボックスに、接続先の DC の完全修飾ドメイン名を入力します。たとえば、「CDC-01.NORTHAMERICA.CONTOSO.COM」のように入力します。
Active Directory を検索するためのアクセス許可を持つドメイン アカウントを使ってログオンしている場合は、この手順を省略できます。それ以外の場合は、[アカウント] ボックスと [パスワード] ボックスに、このドメイン コントローラのユーザー資格情報を入力します。たとえば、次のように入力します。
アカウント: domain name\user name
パスワード: password
注 domain name はアカウントが存在しているドメインの名前です。user name はログオンするために使用しているアカウントです。password は、使用しているアカウントのパスワードである必要があります。
DC および適切な資格情報を指定した後、[詳細設定] タブをクリックし、[このサーバーはセキュリティで保護された接続 (SSL) が必要] を指定します。サーバーのポート番号は 636 に設定する必要があります。
Active Directory 構造に適した検索ベースを選択します。たとえば、「CN=Users,DC=CDC-01,DC=northamerica,DC=corp,DC=contoso,DC=com」などです。
[OK] をクリックして [Active Directory のプロパティ] ダイアログ ボックスを閉じます。
Active Directory での人の検索
Active Directory で人を検索するには、以下の手順に従ってください。
Active Directory で人を検索するには
[人の検索] ダイアログ ボックスの [探す場所] ボックスの一覧で [Active Directory] をクリックします。
[詳細設定] タブをクリックします。
[条件の定義] セクションで、次の検索条件を選択します。
名前が次の文字列を含む:Administrator
[追加] をクリックし、[検索開始] をクリックします。
SMTP 複製の構成
複製する DC で DC 証明書が必要であるなどの理由で、まだ SMTP 複製を構成していない場合、この複製が必要な DC 間に SMTP 複製サイトのリンクを設定する必要があります。
SMTP 複製の構成の詳細については、次の場所にある『Step-by-Step Guide to Setting up ISM-SMTP Replication』を参照してください。
https://technet.microsoft.com/ja-jp/windowsserver/2000/default.aspx
SMTP 複製を構成するには
サイト リンク (およびオプションでサブネット) を作成し、サイト間で DC を移動するアクセス許可を持ったユーザーとして、[Active Directory サイトとサービス] MMC スナップインを起動します。
新しいサイトを作成します。たとえば、Contoso のシナリオでは、Boston サイトを作成しています。[Sites] フォルダを右クリックし、[新しいサイト] をクリックします。[名前] ボックスにサイトの名前 (「Boston」など) を入力し、下の一覧からサイト リンク オブジェクト (DEFAULTIPSITELINK リンクなど) を選択します。
[OK] をクリックします。
左側のペインで [サイト間トランスポート] フォルダをダブルクリックし、[SMTP] オブジェクトを右クリックして、[新しいサイト リンク] をクリックします。
[名前] ボックスに、このサイト リンクの名前 (「East Coast Site Link」など) を入力します。
このサイト リンクで複製される最低 2 つのサイト (Boston と Default-First-Site-Name など) を選択し、[OK] をクリックします。
オブジェクトの接続の確認
オブジェクトの接続を確認するには、以下の手順に従ってください。
オブジェクトの接続を確認するには
各サーバー オブジェクトをダブルクリックし、各サーバー オブジェクトの NTDS Settings オブジェクトを表示します。
各 [NTDS Settings] オブジェクトを選択し、各 [NTDS Settings] オブジェクトに従属する [NTDS Connection] オブジェクトがあることを確認します。
- 各 [NTDS Settings] オブジェクトの下に [接続] オブジェクトが表示されない場合は、各 [NTDS Settings] オブジェクトを右クリックし、[すべてのタスク] をクリックして、[複製トポロジの確認] をクリックします。この操作によって、知識整合性チェッカー (KCC: Knowledge Consistency Checker) で強制的に複製トポロジが確認され、2 つの DC 間に [接続] オブジェクトが作成されます。
2 つの DC 間で強制的に複製を実行します。各 [NTDS Settings] オブジェクトに従属する [接続] オブジェクトを右クリックし、[今すぐ複製] をクリックします。
F5 キーを押すか、[NTDS Settings] オブジェクトを右クリックして [更新] をクリックすることによって、表示を更新します。これで、[接続] オブジェクトが表示されます。
IP リンクよりも SMTP リンクを優先する
IP リンクよりも SMTP リンクを優先するには、以下の手順に従ってください。
IP リンクよりも SMTP リンクを優先するには
[サイト間トランスポート] コンテナで [SMTP] を選択します。
結果ペインで、構成するリンク オブジェクト (つまり、[East Coast Site Link] オブジェクト) を選択します。このオブジェクトを右クリックし、[プロパティ] をクリックします。
注 このサイト リンクのコストは 100 であり、各サイト リンクの既定のコストです。KCC で IP サイト リンクよりも SMTP サイト リンクを優先するには、[Default-SMTP-Site-Link] オブジェクトと呼ばれるサイト リンクにより低いコストを指定する必要があります。
[Default-SMTP-Site-Link] オブジェクトのコストを「50」に変更し、[OK] をクリックします。[DEFAULTIPSITELINK] オブジェクトのコストは、必要に応じて、50 よりも大きくなるように変更できます。
2 つの DC 間で強制的に複製を実行するには、各 [NTDS Settings] オブジェクトに従属する [接続] オブジェクトを右クリックし、[今すぐ複製] をクリックします。
ドメイン コントローラ証明書の要件
セキュリティで保護された LDAP や、SMTP によるサイト間の Active Directory の複製をサポートするには、次の要件を満たす証明書を DC にインストールする必要があります。
デジタル証明書がローカル コンピュータの個人証明書ストア (プログラム的にはコンピュータの MY 証明書ストアと呼ばれる) に存在する。
証明書と一致する秘密キーがローカル コンピュータのストアに存在し、正しく証明書に関連付けられている。秘密キーでは、強力な秘密キー保護が有効であってはならない。
デジタル証明書の拡張キー使用法に、サーバー認証 (1.3.6.1.5.5.7.3.1) オブジェクト識別子 (OID とも呼ばれる) が含まれている。
DC の Active Directory での完全修飾ドメイン名 (C01.DOMAIN.COM など) が次のいずれかの場所に存在する。
[サブジェクト] フィールドの共通名 (CN: Common Name)。
[サブジェクトの別名] 拡張のドメイン ネーム システム (DNS: Domain Name System) エントリ。
証明書は、 DC およびセキュリティで保護された LDAP クライアントが信頼する CA によって発行されたものである。信頼は、発行元 CA の署名証明書を発行するルート CA を信頼するようにクライアントとサーバーを構成することによって確立される。
詳細情報
サポート技術情報 321051 How to Enable LDAP over SSL with a Third-Party Certification Authority
サポート技術情報 247078 Windows 2000 ドメイン コントローラに対して SSL (Secure Socket Layer) 通信を LDAP で有効にする方法
サポート技術情報 296975 Unable to Connect to a Domain Controller by Using LDAP Connection over SSL
サポート技術情報 319970 How to Use the Address Book to Test SSL Connectivity
サポート技術情報 222962 Microsoft Certificate Authority Is Required to Perform Inter-Site SMTP