有効期限が100年の LDAPS の証明書を作る
有効期限が 100年の SSL 証明書を利用して ldaps の動作検証を行う必要があったので、環境のセットアップ成方法についてメモを残しておきます。
まずは AD CS を構築する
先ずは Windows Server の役割と機能の追加から「AD CS」を追加します。
単純に ldaps を使いたいだけなら AD CS を構成するだけでも使えます。手順は以下の記事を参考とさせて頂きました。
ただ、注意しておかないといけない点が一つあって、AD CS の構成ウィザードの中で「CA の有効期限」を100年 にしておかないと、後に有効期限が100年の証明書を作成することができません。
構成が終了すると、デフォルトとなる有効期限が1年の証明書が作成されています。
デフォルトの証明書を手動で置き換える
デフォルトで作成される期限が一年の証明書を期限が100年のものに手動で入れ替えます。
手順はこちらの「AD CSから配布されるデフォルトの証明書を利用してはいけない理由」以下の項を参考とさせて頂きました。
ただ、この作業でも1点注意が必要です。上記の手順で証明書テンプレートを編集する際、有効期限を100年にしますが、実はこのテンプレートを使って証明書を作成しても、期限が2年の証明書しか作ることができません。
実は Windows CA ではデフォルトだと2年以内の期限となる証明書しか発行できないようになっています。それ以上の期限の証明書の発行が必要な場合は、レジストリの設定を以下のように変更する必要があります。
・レジストリ:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration
・値の名前:ValidityPeriodUnits
・値データ:100(10進数)
変更後は、以下の DOS コマンドにて Windows CA を再起動して設定変更を反映します。
net stop certsvc
net start certsvc
以上の作業で有効期限が100年のSSL証明書を利用して LDAPS 接続が使えるようになります。