環境設定
証明書のインポート
Active Directoryアダプタは、Active Directoryサーバとの間でSSL通信を行うため、認証局(CA)とドメインコントローラの証明書を取得し、DataSpiderServerが参照するキーストアへインポートする必要があります。
本ページでは、Active Directoryの証明書の取得方法について記述します。
キーストアへのインポート方法については、「証明書のインポート 」を参照してください。
認証局の証明書を取得するためには、Windows Server 2003およびWindows Server 2008のコンポーネントの1つである「証明書サービス」を導入し、このサービスから取得することになります。証明書サービスはインターネット・インフォメーション・サービス(IIS)のインストールも必要になるので、あらかじめインストールしておく必要があります。また、各コンポーネントのインストールには、Windows Server 2003およびWindows Server 2008のCD-ROMが必要になりますので、あらかじめ用意しておいてください。
Windowsのスタートメニューから「コントロール パネル」-「プログラムの追加と削除」を選択します。
「Windowsコンポーネントの追加と削除」を選択します。
「コンポーネント」から「アプリケーション サーバ」を選択し、チェックを入れます。
このコンポーネントには、デフォルト設定で次のサブコンポーネントがインストールされます。
アプリケーション サーバ コンソール(管理用のコンソール)
インターネット インフォメーション サービス(IISサーバ)
ネットワーク COM+ アクセス有効化
Windowsのスタートメニューから「コントロール パネル」-「プログラムの追加と削除」を選択します。
「Windowsコンポーネントの追加と削除」を選択します。
「コンポーネント」から「証明書サービス」を選択し、チェックを入れます。
このコンポーネントには、デフォルト設定で次のサブコンポーネントがインストールされます。
証明書サービスCA(CA局)
証明書サービスWEB登録のサポート(証明書のWEB公開)
「次へ」ボタンを押下すると、「Microsoft証明書サービス」ダイアログが表示されます。証明書サービスをインストールすると、コンピュータ名とドメインメンバーシップの変更ができなくなるため、これらの設定が正しく行われていることを確認してください。
「はい」ボタンを押下後、「証明書サービス CAの種類」でポリシーにあわせてCAの種類を選択します。(本例では、「エンタープライズのルート CA」を選択します。)
「次へ」ボタンを押下後に表示される「証明書サービス CA識別情報」にて、ここでインストールされる証明書サービス(CA)の情報を入力します。
「この CA の共通名」にはCA局の名前(e.g. adca)、「有効期限」には、ルート証明書の有効期限をポリシーに従って設定してください。
「次へ」ボタンを押下後、「証明書サービス 証明書データベースの設定」で、証明書のデータベースとログの保存先を指定してください。
「次へ」ボタンを押下すると、「インターネット インフォメーション サーバ」(以下、IIS)がインストールされていない場合は、「証明書サービス IISメッセージ」のダイアログが表示されます。IISをインストールしてから、再度証明書サービスをインストールしなおしてください。
「次へ」ボタンを押下すると、IISが起動中の場合は、「証明書サービス IIS停止メッセージ」のダイアログが表示されます。「OK」ボタンを押下すると、IISを停止して証明書サービスのインストールが再開されます。
証明書サービスのサブコンポーネントの「証明書サービス WEB 登録のサポート」を有効にするためには、IIS上で「Active Server Pages」(以下、ASP)を有効にしておく必要があります。「はい」ボタンを押下してASPを有効にしてください。
Windowsのスタートメニューから「すべてのプログラム」-「管理ツール」-「証明機関」を選択します。
証明機関(上図のadca)の右クリックメニューから「プロパティ」を選択します。証明機関の名称は、証明書サービスをインストールする際に設定したCAの名前になります。
「証明書の表示」ボタンを押下して、「証明書」を表示し「詳細」タブを選択します。
「ファイルにコピー」ボタンを押下し、ウィザードに従ってファイルをダウンロードします。
ダウンロードするファイルの形式は、「DER encoded binary X.509 (CER)」を選択してください。
ダウンロードした「認証局の証明書」は、DataSpiderServerが参照するキーストアにインポートする必要があります。
インポート方法については、「証明書のインポート方法 」を参照してください。
ドメインコントローラの証明書を取得するためには、ドメインのポリシーに対して証明書を発行するように設定を行う必要があります。
また、ドメインコントローラの証明書の有効期限はデフォルトで1年となっています。よって、証明書が失効された場合は、有効期限が延長されたドメインコントローラの証明書を再取得する必要があります。以下に説明する設定を行うことで、ドメインコントローラの証明書は失効と同時に新しい証明書が再発行されるようになります(自動登録の設定において、証明書を自動的に登録するように設定した場合)。証明書の期限が切れた場合は、「図18 証明機関」の発行された証明書から新しいドメインコントローラの証明書を確認し、あらためてキーストアにインポートしてください。
ドメインコントローラの証明書の有効期限はMicrosoft社の仕様により1年となっているため、毎年1回インポートを行ってください。
Windowsのスタートメニューから「すべてのプログラム」-「管理ツール」-「Active Directoryユーザとコンピュータ」を選択します。
ドメイン名の右クリックメニューから「ドメインのプロパティ」を選択し、「グループ ポリシータブ」を開きます。
「Default Domain Policy」が選択されていることを確認したのち、「編集」ボタンを押下し、「グループ ポリシー オブジェクト エディタ」を開きます。
「コンピュータの構成」-「Windows の設定」-「セキュリティの設定」-「公開キーのポリシー」-「自動証明書要求の設定」の右クリックメニューから、「新規作成」-「自動証明書要求」を選択します。
「コンピュータの構成」-「Windows の設定」-「セキュリティの設定」-「公開キーのポリシー」-「自動登録の設定」をダブルクリックして、「証明書を自動的に登録する」がチェックされていることを確認し、「有効期限が切れた証明書を更新、保留中の証明書を更新、および破棄された証明書を削除する」と「証明書テンプレートを使用する証明書を更新する」にチェックを入れて「OK」ボタンを押下します。
Windowsのスタートメニューから「すべてのプログラム」-「管理ツール」-「証明機関」を選択します。
「発行した証明書」に作成されたドメインコントローラの証明書が表示されていることを確認し、、この証明書をダブルクリックして証明書の「詳細」タブから「ファイルにコピー」ボタンを押下して、保存します。
ダウンロードした「ドメインコントローラの証明書」は、DataSpiderServerが参照するキーストアにインポートする必要があります。
インポート方法については、「証明書のインポート 」を参照してください。