AD LDAPS外部認証のためにCA証明書をインストールする方法

外部認証の目的でAD (Active Directory) プロファイルを作成する際、「Secure Connection」オプションを選択した場合はLDAPS (SSL経由のLightweight Directory Access Protocol) 対応のための追加作業が必要になります。

Management ConsoleはLDAPSと接続を確立する際にJSSE (Java Secure Socket Extension) を使用するため、LDAPSサーバー証明書の署名に使用されたCA (認証局) 証明書をJSSEのトラストストアに追加しておく必要があります。Management Consoleがデフォルトで使用するのはJRE (Javaランタイム環境) のトラストストアであり、「<jre_dir>\lib\security」の「cacerts」ファイルに該当します。

認証局証明書をトラストストアにインポートするにはJREのコマンドラインツールである「keytool」を使用します。keytoolの詳細はWindows向けユーザーマニュアルとUnixベースシステム向けのマニュアルを参照してください。

まず、cacertsトラストストアに含まれている証明書を確認するために次のコマンドを実行してください。

このコマンド例では「c:\Program Files\Java\jre1.8.0_151」がJREフォルダーであり、トラストストアのパスワードはデフォルトの「changeit」です。必要に応じてパスワードは変更してください。

認証局証明書をインポートするには、次のコマンドを実行してください。

インポートの後、変更を反映するためにBlancco Management Consoleサービスの再起動が必要です。その後、LDAPSによるADユーザーアカウント認証が可能になります。