Directory Server での SSL の有効化

次の手順に従って、自己署名付き証明書を使用して Directory Server で SSL を有効にします。

わかりやすいように手順を省略しています。詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』を参照してください。

• Windows では、ISW-host-name \shared\bin フォルダにある Identity Synchronization for Windows 6.0 に付属の certutil バージョンを使用します。

• Solaris では、certutil がデフォルトで /usr/sfw/bin にインストールされます。

• Linux では、certutil はデフォルトで /opt/sun/private/bin にインストールされます。

Directory Server で SSL を有効にする

Directory Server で SSL を有効にするには、次の手順を参照してください。

1. DS インスタンスを作成します。

   /opt/SUNWdsee/ds6/bin/dsadm create -p non-ldap-port-P ldap-secure-port <DS-server-root>/slapd-< hostname>

2. インスタンスを起動します。

   /opt/SUNWdsee/ds6/bin/dsadm start <DS-server-root>/slapd-<hostname >

3. 自己署名付き証明書を作成します。

   /opt/SUNWdsee/ds6/bin/dsadm add-selfsign-cert -S "cn=<machine name with domain>,O=< preferred root suffix>"/<DS-server-root>/slapd-< hostname>/<certificate name>

   ここで、S は個別の証明書を作成してそれをデータベースに追加し、2 番目の変数は Directory Server インスタンスのパスを示し、最後の変数は証明書エイリアス用です。

4. この証明書にサーバーのプロパティーを設定します。

   /opt/SUNWdsee/ds6/bin/dsconf set-server-prop -p non-ldap-port ssl-rsa-cert-name:< certificate name>

5. DS を再起動します。

   /opt/SUNWdsee/ds6/bin/dsadm restart /<DS-server-root>/slapd-<hostname >/

6. ここで、DS を停止してデフォルト証明書を削除します (これによって上記で生成された証明書がデフォルト証明書になる)。

   /opt/SUNWdsee/ds6/bin/dsadm stop /<DS-server-root>/slapd-< hostname>/

7. ここでデフォルト証明書を削除します。

   /opt/SUNWdsee/ds6/bin/dsadm remove-cert /<DS-server-root>/slapd-< hostname>/ defaultCert

   ここで、最初の変数は slapd パスを示し、2 番目の変数は証明書のエイリアスを示します。上記のデフォルト証明書をエクスポートする場合は、次のコマンドを実行します。

   /opt/SUNWdsee/ds6/bin/dsadm export-cert -o /<any path>/slapd-cert.export /<DS-server-root>/slapd-< hostname>/ <original default cert alias>

   ここで、o は出力ファイル (/<any path>/slapd-cert.export )、2 番目の変数は slapd パスを示し、3 番目の変数は証明書エイリアスを示します。

Directory Server の証明書データベースからの CA 証明書の取得

必ず Directory Server で SSL を有効にしてください。ディレクトリサーバーコネクタの証明書データベースにインポートできるように Directory Server証明書を一時ファイルにエクスポートするには、次のコマンドを発行します。

<ISW-server-root>\shared\bin\certutil.exe -L -d . 
-P slapd-hostname- -n server-cert -a \ > C:\s-cert.txt

ISW-server-root は、ISW-hostname ディレクトリのあるパスです。

これらの例は、サーバーのルートのすぐ下のエイリアス ディレクトリで実行します。それ以外の場合、Directory Server は証明書データベースを見つけられません。

(Solaris プラットフォームで dsadm コマンドを使用した) Directory Server からの CA 証明書の取得

必ず Directory Server で SSL を有効にしてください。CA 証明書を取得するには、次のコマンドを発行します。

/opt/SUNWdsee/ds6/bin/dsadm export-cert -o /<any path>
/slapd-cert.export /<DS-server-root>/slapd-<hostname>/
<original default cert alias>