[SSL の有効化] オプションを選択した場合、LDAP サーバと Address Manager の間の SSL 通信を有効化するための追加の手順を実行する必要があります。具体的な手順とコマンドの詳細については、LDAP ドキュメントの証明書のコピーとインポートに関する説明を参照してください。
SSL 通信を有効にするには:
- SCP を使用して、LDAP 認証子の証明書を Address Manager に手動でアップロードします。複数の LDAP ソースがある場合は、すべてのソースを同じ証明書ファイルに追加できます。証明書は、Java keytool と互換性のある形式でなければなりません。互換性のある形式は次のとおりです。
- X.509 PKCS#7 (通常は
.p7b
または.p7c
ファイル) - X.509 バイナリ DER (通常は
.der
ファイル。ただし、.cer
および.crt
ファイルもバイナリ形式の場合があります) - X.509 Base64 Privacy-enhanced Electronic Mail (PEM) (通常は
-----BEGIN CERTIFICATE-----
および-----END CERTIFICATE-----
マーカーを含む.pem
ファイル)
ヒント: 必要に応じて、OpenSSL を使用して証明書を別の形式に変換できます。 - X.509 PKCS#7 (通常は
- 証明書は、Java keytool を使用して
/data/certs/certificates
と呼ばれるキーストアにインポートします。キーストア パスワードはpassword
です。必要に応じて、どのようなエイリアスでも使用できます。例えば、
cacert.pem
およびldapserver.pem
という名前の証明書の場合、次の keytool コマンドを使用できます。mkdir -p /data/certs keytool -importcert -keystore /data/certs/certificates -storepass password -file cacert.pem -noprompt -alias ca keytool -importcert -keystore /data/certs/certificates -storepass password -file ldapserver.pem -noprompt -alias server1
SSL 経由で LDAP 接続を試みる場合、Address Manager は data/certs
ディレクトリで certificates
という名前のキーストア ファイルを検索します。ファイルが存在する場合、Address Manager は LDAP 認証子の真正性を確認するために証明書をチェックします。
注: キーストア ファイルはキャッシュされません。つまり、LDAP 接続が SSL 経由で試行されるたびに、キーストア ファイルが検証されます。
ヒント: 証明書およびキーストア ファイルを管理したくない場合は、/data/certs ディレクトリの
certificates
キーストア ファイルを削除してください。このディレクトリにキーストア ファイルがない場合、Address Manager は LDAP 認証子の真正性を常に信頼します。