証明書の概要
インスタンスには、セキュア接続を確立して署名を検証するための証明書が必要です。
証明書は次のような機能に使用されます。
証明書を使用するには、セキュリティ保護されたサーバーまたはクライアントの証明書を生成または購入し、インスタンスにアップロードする必要があります。
LDAP 証明書
インスタンスが LDAP サーバーとの LDAP over SSL (LDAPS プロトコル) 接続を確立するには、SSL 証明書が必要です。
インスタンスは、次の 2 つのタイプの LDAP 証明書を受け入れます。
| 証明書 | タイプ | 必須 |
|---|---|---|
| LDAP サーバー証明書 | サポートされている任意のタイプ | すべての LDAP 構成 |
| LDAP クライアント証明書 | Java キーストアタイプ | 相互認証 |
複数のサーバー証明書がある場合、LDAP サーバーが接続を許可するまで、インスタンスは各サーバー証明書を順番に試行します。複数の LDAP サーバーを使用する場合は、LDAP サーバーごとに SSL 証明書を含めてください。
相互認証では、サーバーに加えてクライアントが証明書を提示する必要があります。LDAP サーバーが相互認証を必要とする場合は、LDAP サーバーのクライアント証明書を Java キーストアタイプの証明書で指定する必要があります。
証明書の条件
有効な証明書は次の条件を満たす必要があります。
- 証明書のキーサイズは最大 2048 ビットです。
- 証明書には、次のいずれかのファイル拡張子が必要です。
拡張 説明 DER Distinguished Encoding Rules 形式は、バイナリメッセージ転送構文です。この形式は、.CER および .CRT ファイル拡張子もサポートしています。 CER Distinguished Encoding Rules 形式を使用する証明書の証明書ファイル拡張子。 CRT Distinguished Encoding Rules 形式を使用する証明書の証明書ファイル拡張子。 PEM Privacy Enhanced Mail 形式は、「-----BEGIN CERTIFICATE-----」と「-----END CERTIFICATE-----」のテキスト文字列で囲まれた、base-64 でエンコードされた DER 証明書です。
証明書の信頼
デフォルトでは、インスタンスは、Java 仮想マシン (JVM) で認識される認証局 (CA) からの証明書のみを信頼します。自己署名証明書およびエンタープライズ署名証明書は信頼されません。
注:
証明書の使用に影響するプロパティの詳細については、「インスタンスセキュリティ強化設定」の「」を参照してください。