証明書ファイルのインポート

  1. はじめに
  2. Active Directoryの証明書の取得方法
    1. インターネット インフォメーション サービス(IIS)のインストール
    2. 証明書サービスのインストール
    3. 認証局(CA)の証明書の取得
    4. ドメインコントローラの証明書の取得
  3. キーストアの作成方法
    1. キーストアの新規作成と認証局の証明書のインポート
    2. ドメインコントローラの証明書のインポート
    3. DataSpiderの再起動

1.はじめに

Active Directoryアダプタは、Active DirectoryサーバとSSL通信を行うため、サーバ証明書をキーストア(keystore)にインポートする必要があります。

以下で、Active Directoryに対してSSL通信を行うための手順について説明します。本例では、認証局の証明書をroot.cer、ドメインコントローラの証明書をdcsrv.cerというファイル名で取得したものとして説明します。別の名前で取得した場合はファイル名を読み替えてください。

2.Active Directoryの証明書の取得方法

認証局の証明書を取得するためには、Windows 2000およびWindows Server 2003のコンポーネントの1つである「証明書サービス」を導入し、 このサービスから取得することになります。証明書サービスはインターネット・インフォメーション・サービス(IIS)のインストールも必要になる ので、あらかじめインストールしておく必要があります。また、各コンポーネントのインストールには、Windows 2000またはWindows Server 2003のCD-ROMが 必要になりますので、あらかじめ用意しておいてください。

2.1.インターネット インフォメーション サービス(IIS)のインストール

  1. [スタート]-[コントロール パネル(C)]-[プログラムの追加と削除]を選択します。
  2. [Windowsコンポーネントの追加と削除(A)]を選択します。
  3. [コンポーネント(C)]から[アプリケーション サーバ]を探し、チェックします。

2.2.証明書サービスのインストール

  1. [スタート]-[コントロール パネル(C)]-[プログラムの追加と削除]を選択します。
  2. [Windowsコンポーネントの追加と削除(A)]を選択します。
  3. [コンポーネント(C)]から[証明書サービス]を選択し、チェックします。


    4. このコンポーネントには、デフォルト設定で次の2つのサブコンポーネントがインストールされます。
  4. [次へ(N)]ボタンを押下すると、「Microsoft証明書サービス」のダイアログが表示されます。証明書サービスをインストールすると、コンピュータ名とドメインメンバーシップの変更ができなくなるため、これらの設定が正しく行われていることを確認してください。
  5. [はい(Y)]ボタンを押下後、「証明書サービス CAの種類」でポリシーに併せてCAの種類を選択します(本例では、[エンタープライズのルート CA(E)]を選択します)。
  6. [次へ(N)]ボタンを押下後に表示される「証明書サービス CA識別情報」にて、ここでインストールされる証明書サービス(CA)の情報を入力します。[この CA の共通名(C)]にはCA局の名前(e.g. adca)、[有効期限(V)]には、ルート証明書の有効期限をポリシーに従って設定してください。
  7. [次へ(N)]ボタンを押下後、「証明書サービス 証明書データベースの設定」で、証明書のデータベースとログの保存先を指定してください。
  8. [次へ(N)]ボタンを押下すると、インターネット インフォメーション サーバ(以下、IIS)がインストールされていない場合は、「証明書サービス IISメッセージ」のダイアログが表示されます。IISをインストールしてから、再度、証明書サービスをインストールしなおしてください。
  9. [次へ(N)]ボタンを押下すると、IISが起動中の場合は、「証明書サービス IIS停止メッセージ」のダイアログが表示されます。[OK]ボタンを押下すると、IISを停止して証明書サービスのインストールが再開されます。
  10. 証明書サービスのサブコンポーネントの「証明書サービス WEB 登録のサポート」を有効にするためには、IIS上でActive Server Pages(以下、ASP)を有効にしておく必要があります。[はい]を押下してASPを有効にしてください。

2.3.認証局(CA)の証明書の取得

  1. [スタート]-[すべてのプログラム]-[管理ツール]-[認証期間]を起動します(「図10 証明機関」)。
  2. 証明機関(上図のadca)を右クリックして、「プロパティ」を開きます。認証期間の名称は、証明書サービスをインストールする際に設定したCAの名前になります。
  3. [証明書の表示(V)]ボタンを押下して、「証明書」を表示し[詳細]タブを開きます。
  4. [ファイルにコピー(C)]ボタンを押下して、ウィザードに従ってファイルをダウンロードします。
    ダウンロードするファイルの形式は、[DER encoded binary X.509 (CER)(D)]を選択してください。


    5. このファイルは、「3.キーストアの作成方法」で説明するroot.cerに該当します。

2.4.ドメインコントローラの証明書の取得

ドメインコントローラの証明書を取得するためには、ドメインのポリシーに対して証明書を発行するように設定を行う必要があります。

また、ドメインコントローラの証明書の有効期限はデフォルトで1年となっています。よって、証明書が失効された場合は、有効期限が延長されたドメインコントローラの証明書を再取得する必要があります。以下に説明する設定を行うことで、ドメインコントローラの証明書は失効と同時に新しい証明書が再発行されるようになります(自動登録の設定において、証明書を自動的に登録するように設定した場合)。証明書の期限が切れた場合は、「図18 証明機関」の発行された証明書から新しいドメインコントローラの証明書を確認し、あらためてキーストアにインポートしてください。ドメインコントローラの証明書の有効期限はMicrosoft社の仕様により1年となっているため、毎年1回インポートしなおす必要があります。
  1. [スタート]-[すべてのプログラム]-[管理ツール]-[Active Directoryユーザとコンピュータ]を起動します(「図13 Active Directoryユーザとコンピュータ」)。
  2. ドメイン名を右クリックして「ドメインのプロパティ」を開き、グループ ポリシータブを開きます。
  3. [Default Domain Policy]が選択されていることを確認したのち、[編集]ボタンを押下し、「グループ ポリシー オブジェクト エディタ」を開きます。
  4. [コンピュータの構成]-[Windows の設定]-[セキュリティの設定]-[公開キーのポリシー]-[自動証明書要求の設定]を右クリックして、[新規作成]-[自動証明書要求]を実行します。「図16 自動証明書要求ウィザード」に従ってドメインコントローラの自動証明書要求を設定します。
  5. [コンピュータの構成]-[Windows の設定]-[セキュリティの設定]-[公開キーのポリシー]-[自動登録の設定]をダブルクリックして、[証明書を自動的に登録する(E)]がチェックされていることを確認し、[有効期限が切れた証明書を更新、保留中の証明書を更新、および破棄された証明書を削除する(R)]と[証明書テンプレートを使用する証明書を更新する(U)]をチェックして[OK]ボタンを押下します(「図17 自動登録の設定」)。
  6. [スタート]-[すべてのプログラム]-[管理ツール]-[証明機関]を起動します(「図18 証明機関」)。
  7. [発行した証明書]にドメインコントローラの証明書が作成されていますので、この証明書をダブルクリックして証明書の[詳細]タブから、[ファイルにコピー]ボタンを押下して、保存します。


    8. このファイルは、「3.キーストアの作成方法」で説明するdcsrv.cerに該当します。

3.キーストアの作成方法

SSL通信を行う場合は、Javaの一般的な証明書リポジトリであるキーストア(keystore)を使用します。
キーストアはパスワードによって暗号化された1つのファイルで、認証局の証明書やサーバ証明書およびクライアント証明書を複数保存しておくことができます。例えば、Active Directoryのドメインコントローラの証明書をこのキーストアにインポートしておく必要があります。

コマンドプロンプトを起動して、J2SEが提供しているkeytool.exeを使用し、以下のコマンドでキーストアの新規作成および証明書のインポートを行います。

DataSpiderは「C:¥Program Files¥DataSpiderServista」にインストールされていることとして説明します。 また、root.cerおよびdcsrv.cerは「C:¥」に格納されていることとして説明します。
キーストアファイルの初期パスワードは「changeit」です。パスワードの変更を行っていない場合、以下の<パスワード>は「changeit」を入力してください。

3.1.キーストアの新規作成と認証局の証明書のインポート

C:¥> "C:¥Program Files¥DataSpiderServista¥jre¥bin¥keytool" -import -trustcacerts -alias adroot -file "C:¥root.cer" -keystore "C:¥Program Files¥DataSpiderServista¥jre¥lib¥security¥cacerts" <enter>

キーストアのパスワードを入力してください: <パスワード><enter>

所有者: CN=adca, DC=synctrust. DC=jp

実行者: CN=adca, DC=synctrust. DC=jp

シリアル番号: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

有効日: Fri Feb 17 19:44:56 JST 2007 有効期限: Thu Feb 17 19:51:21 JST 2012

証明書のフィンガープリント:

MD5: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX

SHA1: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX

この証明書を信頼しますか? [no]: yes<enter>

証明書がキーストアに追加されました。

3.2.ドメインコントローラの証明書のインポート

C:¥> "C:¥Program Files¥DataSpiderServista¥jre¥bin¥keytool" -import -trustcacerts -alias dcsrv -file "C:¥dcsrv.cer" -keystore "C:¥Program Files¥DataSpiderServista¥jre¥lib¥security¥cacerts" <enter>

キーストアのパスワードを入力してください: <パスワード> <enter>

証明書がキーストアに追加されました。

3.3.DataSpiderの再起動


DataSpiderServerおよびDataSpider Studioが起動していた場合には再起動を、起動していなかった場合には起動を行います。

グローバルリソースの設定についてはこちらを参照してください。