技術記事・調査

【EPS技術記事】EPSとActive Directory間をLDAPS接続する方法

水色の背景に六角形が2つあるイラスト 水色の背景に六角形が2つあるイラスト
アイキャッチ
目次

1. はじめに

Windows Server 2025以降、Active Directoryに対してLDAP接続ができなくなりました。
その原因として、Windows Server 2025で機能レベルが2016から2025に変更されたことにより、デフォルトではLDAP署名が必須となったことが挙げられます。
そこでこの記事では、Active Directoryに対してLDAPS接続を実現するため、NetAttest EPSからActive Directoryへサーバー証明書を発行し、LDAPS接続するまでの手順をご紹介します。

2. サーバー証明書要求ファイルの作成

LDAPS接続を行うために、EPSからWindows Server 2025にサーバー証明書を発行します。
サーバー証明書取得のための証明書要求ファイルを作成します。
また、サーバー証明書要求ファイルの作成方法については以下のサイトを参考に行いました。

Secure Sockets Layer (SSL) 経由でライトウェイト ディレクトリ アクセス プロトコル (LDAP) を有効にする - Windows Server | Microsoft Learn


  1. サーバー証明書要求に必要なファイルを作成する
    メモ帳を使用して以下の内容が書かれている「request.inf」というファイル名のテキストファイルを作成します。
    ※本記事では保存先としてCドライブのtempフォルダを指定しました。

    [Version]
    Signature="$Windows NT$"

    [NewRequest]
    Subject = "CN=ドメインコントローラー名"
    KeySpec = 1
    KeyLength = 4096
    Exportable = TRUE
    MachineKeySet = TRUE
    SMIME = FALSE
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12 
    RequestType = PKCS10 
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.1


  2. サーバー証明書要求ファイル(PKCS#10要求)を作成する
    管理者権限のコマンドプロンプトで以下のコマンドを実行し、「request.req」というPKCS#10要求ファイルを作成します。
    C:\tempにあるrequest.infからC:\tempへrequest.reqを保存します。

    C:\temp> certreq -new "request.inf" "request.req"

    CertReq: 要求が作成されました

3. サーバー証明書発行とCA証明書ダウンロード

  1.  証明書要求ファイルからサーバー証明書を申請
    2-2証明書要求ファイル(PKCS#10要求)を作成する    で作成した「request.req」を使用し
    NetAttest EPSからサーバー証明書を取得します。

    EPSのサービス管理ページ
    高度なメニュー>証明書>外部サーバー証明書
    から「新規申請」をクリックします。       

  2. 「PKCS#10ファイルによる証明書署名要求」へ2-2証明書要求ファイル(PKCS#10要求)を作成するで作成した「request.req」をアップロードし、「申請」をクリックします。 


  3. 発行されたサーバー証明書をダウンロード
    発行されたサーバー証明書をダウンロードするため、「ダウンロード」をクリックします。  


  4. CA証明書のダウンロード
    EPSのサービス管理ページ
    高度なメニュー>証明書>外部サーバー証明書
    からCA証明書及び失効リスト「ダウンロード」をクリックします。  

  5. PEM形式でダウンロード
    CA証明書の「PEM形式でダウンロード」をクリックし、ダウンロードします。

4. 証明書のインポート

ダウンロードしたサーバー証明書、CA証明書をWindows Server 2025へインポートします。
サーバー証明書は「ローカルコンピューター>個人」
CA証明書は「ローカルコンピューター>信頼されたルート証明機関」へインポートします。

  1. 各証明書ファイルを開く
    EPSからWindows Serverへダウンロードした各証明書ファイルを選択し、「開く」をクリックします。

    <サーバー証明書> 

    <CA証明書>


  2. 証明書のインストールを行う
    「証明書のインストール」をクリックします。   

  3. 証明書の保存先の指定
    証明書のインポートウィザード画面から、証明書の保存場所は「ローカルコンピューター」を選択し、「次へ」をクリックします。


    「証明書をすべて次のストアに配置する」を選択し、「参照」をクリックします。    

    サーバー証明書の場合は「個人」
    CA証明書の場合は「信頼されたルート証明機関」を選択します。
    選択したら「OK」をクリックします。

    <サーバー証明書> 

    <CA証明書>


    証明書の保存先に指定したストアが選択されていることを確認し、「次へ」をクリックします。

    <サーバー証明書>  
    <CA証明書>


  4. 証明書のインポートを行う
    先ほど選択した保存先へ証明書をインポートします。
    「完了」をクリックします。


    「正しくインポートされました。」と表示されたらインポートに成功しています。    

  5. Windows Serverの再起動を行う 


5. EPSとAD間のLDAPS接続を行う

  1. EPSへ利用者リポジトリを登録する
    EPSサービス管理ページ
    高度なメニュー>RADIUS>利用者リポジトリ
    から「新規作成」をクリックします。     

  2. LDAPS接続の指定
    利用者リポジトリ>利用者リポジトリ情報
    から、タイプに「Active Directory」を選択します。
    「LDAPS」にチェックを入れて、ポート番号が「636」になることを確認します。


  3. 利用者検索する
    利用者リポジトリ>利用者検索
    から、ADに存在する利用者の検索を行います。
    「検索テスト」をクリックします。  

    「検索に成功しました。」という通知が表示されたら、EPSとAD間のLDAPS接続の成功です。
記事を書いた人

ソリトンシステムズ・テクニカルチーム

教育情報システムのセキュリティ対策 PPAP対策にも最適なオンラインストレージサービス HiQZen いつでも、どこからでも安全に仕事ができる テレワークソリューション 情報資産を保護するゼロトラストサービス 2023年版 セキュリティ実態調査 フォルダーのアクセス権 管理作業が1/3に! 分離ネットワーク間で安全なファイル受渡し 重要情報を守る“認証強化” のススメ

ピックアップ Pick up

Pick up一覧

タグ Tag

金融 流通・小売 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次 Soliton SecureWorkspace HiQZen
2023年版 セキュリティ実態調査 重要情報を守る認証強化のススメ 失敗しない 無線LAN導入 重要インフラとしての無線LAN

関連記事

Related Article