証明書のペアを使用して、Microsoft Active Directory (AD) LDAPS 通信を有効にします。

セキュア LDAP (LDAPS) 通信は、サーバーとクライアント間のデータを暗号化する点で SSL (HTTPS) 通信に似ています。これを実現するために、サーバーとクライアントは証明書のペアを使用して共通の情報を共有します。サーバーは秘密鍵証明書を保持し、クライアントは公開鍵証明書を保持します。これらの証明書は、Microsoft Active Directory (AD) LDAPS 通信を有効にするために必要です。

Active Directory の LDAPS を設定するには、次のことを行う必要があります。

• Active Directory ドメインが設定され、インスタンスがファイアウォール経由で Active Directory サーバーに接続できることを確認します。
• ドメインコントローラー (DC) の証明書を発行できる認証局 (CA) があることを確認します。CA インフラストラクチャをまだ使用していない場合は、2 つのオプションがあります。
  • 証明書を発行するためのスタンドアロン CA のセットアップ
  • サードパーティの証明書の要求
• 既に CA がある場合は、内部 CA から証明書を生成できます。

すべての証明書には有効期限があり、証明書のプロパティで確認できます。証明書の有効期限が切れると、すべての LDAPS トラフィックが失敗し、ユーザーはインスタンスにログインできなくなります。これを解決するには、新しい証明書を発行してインスタンスにインストールする必要があります。

Microsoft CA 証明書のデフォルトの有効期限は 1 年です。外部 CA 証明書は通常 1 年単位で購入します。証明書の有効期限が切れたときに注意するか、アプリケーションの有効期限通知機能( システム LDAP > 証明書) を開きます。古い証明書の有効期限が切れる前に、新しい証明書があることを確認してください。これにより、古い証明書の有効期限が切れる前に新しい証明書をインストールしてテストする時間が確保できます。