ヘッダーをスキップ
Oracle Identity Manager Microsoft Active Directory Password Synchronization Connectorガイド
リリース9.1.1
B54801-02
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

2 コネクタのデプロイ

コネクタをデプロイする手順は、次のステージに分けることができます。

2.1 インストール前の作業

コネクタのインストール前の作業では、次の各項に記載されている手順を実行します。

2.1.1 デプロイ要件の確認

コネクタをインストールする前に、次のデプロイ要件に対応していることを確認する必要があります。

  • コネクタをインストールするコンピュータが、表2-1に記載されている要件を満たしている必要があります。

    表2-1 動作保証されているデプロイ構成

    項目 要件

    ターゲット・システムおよびターゲット・システムのホスト・プラットフォーム

    次のいずれかのターゲット・システムの使用。

    • Microsoft Windows Server 2003 SP2以上(x86またはx64)にインストールされたMicrosoft Windows Server 2003 Active Directory

    • Microsoft Windows Server 2008 SP2以上(x86またはx64)にインストールされたMicrosoft Windows Server 2008 Active Directory


  • Oracle Identity Managerリリース9.1.0.0以上のインスタンスがSPML Webサービスとともにインストールおよび実行されていて、コネクタをインストールする、Microsoft Active Directoryドメイン・コントローラをホスティングしているコンピュータからアクセスできる。

  • ターゲット・システムのホスト・コンピュータは、IPアドレスとホスト名の両方を使用してアプリケーション・サーバー・ホストをpingできる必要があります。

2.2 インストール

この項の内容は次のとおりです。

2.2.1 コネクタのインストール

コネクタをインストールするには、次のようにします。

  1. Microsoft Active Directoryのホスト・コンピュータで、次のようにしてインストーラを実行します。

    1. インストール・メディアの内容を一時ディレクトリにコピーします。

    2. 一時ディレクトリで、setup.exeファイルを実行してインストーラを起動します。

  2. 「ようこそ」ページで、「次へ」をクリックします。

  3. 次のページで、「次へ」をクリックします。

  4. 「インストール・ディレクトリ」ページでは、デフォルトのインストール・ディレクトリをそのまま使用することも、「参照」ボタンを使用してコネクタのインストール先のディレクトリを指定することもできます。

    図2-1に、「インストール・ディレクトリ」ページを示します。

    図2-1 「インストール・ディレクトリ」ページ(インストール)

    図2-1の説明が続きます
    「図2-1 「インストール・ディレクトリ」ページ(インストール)」の説明

  5. 「次へ」をクリックします。

    前のステップで指定したインストール・ディレクトリが存在している場合は、そのディレクトリを上書きするかどうかインストーラによって確認が求められます。そうでない場合、インストーラによってインストール・ディレクトリが作成されます。

  6. 「Active Directory構成パラメータ」ページでは、Microsoft Active Directoryの構成パラメータが表示されますが、すべてのフィールドで表示されている値を確認します。

    このページに表示されている値が、Microsoft Active Directoryの現在のインストールに関する値と一致しない場合は、表示されている値を変更して一致させます。そうでない場合は、次のステップに進みます。

    図2-2に、サンプル値が指定された「Active Directory構成パラメータ」ページを示します。

    図2-2 「Active Directory構成パラメータ」ページ(インストール)

    図2-2の説明が続きます
    「図2-2 「Active Directory構成パラメータ」ページ(インストール)」の説明

    表2-2に、Microsoft Active Directoryの各構成パラメータの説明を示します。

    表2-2 Microsoft Active Directoryの構成パラメータ

    パラメータ 説明

    ドメイン

    コネクタのインストール先であるMicrosoft Active Directoryドメイン・コントローラに対応するドメイン名を入力します。この値は通常、DNSのドメイン名です。

    サンプル値: example.com

    ベースDN

    Microsoft Active DirectoryのベースDNを入力します。これは、変更されたパスワードを記録しているエントリをコネクタが検索するときに使用するコンテナです。organizationUnitである永続キューは、このコンテナ内に作成されます。したがって、指定するベースDNは、organizationalUnitオブジェクトを保持できることが必要です。

    サンプル値: DC=example,DC=com

    ポート

    Microsoft Active Directoryのホスト・コンピュータに対応するLDAPのポート番号を入力します。

    デフォルト値: 389

    ホスト

    Microsoft Active Directoryホスト・コンピュータのIPアドレス(ホスト名ではなく)を入力します。

    サンプル値: 172.20.55.120


  7. 「次へ」をクリックします。

  8. 2番目の「Active Directory構成パラメータ」ページで、次のフィールドに値を入力します。

    • ユーザー: Administratorsグループに属するアカウントのユーザー名を入力します。

      次のいずれかの形式を使用してユーザー名を入力できます。

      • USER_LOGIN@DOMAIN.COM

      • cn=USER_LOGIN,cn=USERS,dc=DOMAIN,dc=com

      サンプル値:

      john_doe@example.com

      cn=admin,cn=Users,dc=example,dc=com

    • ユーザー・パスワード: 「ユーザー」フィールドに入力したアカウントに対応するパスワードを入力します。

    • ログ・ファイル・パス: ログ・ファイルを生成する必要のあるディレクトリのフルパスを入力します。

      デフォルト値: INSTALLATION_DIRECTORY\Logs

      INSTALLATION_DIRECTORYは、ステップ4で指定した値です。

      ロギングの詳細は、「パスワード同期の無効化および有効化」を参照してください。

    図2-3に、サンプル値が指定されたMicrosoft Active Directory情報ページを示します。

    図2-3 2番目の「Active Directory構成パラメータ」ページ(インストール)

    図2-3の説明が続きます
    「図2-3 2番目の「Active Directory構成パラメータ」ページ(インストール)」の説明

  9. インストールを続行するには、「次へ」をクリックします。

  10. 「Oracle Identity Manager構成パラメータ」ページで、Oracle Identity Managerの構成パラメータに値を指定します。

    図2-4に、サンプル値が指定された「Oracle Identity Manager構成パラメータ」ページを示します。

    図2-4 「Oracle Identity Manager構成パラメータ」ページ(インストール)

    図2-4の説明が続きます
    「図2-4 「Oracle Identity Manager構成パラメータ」ページ(インストール)」の説明

    表2-3に、Oracle Identity Managerの各構成パラメータの説明を示します。

    表2-3 Oracle Identity Managerの構成パラメータ

    パラメータ 説明

    ホスト

    Oracle Identity Managerをホストするコンピュータのホスト名(IPアドレスではなく)を入力します。

    注意: ホスト名は、Microsoft Active Directoryホスト・コンピュータからアクセスできることが必要です。

    サンプル値: oimhost

    ポート

    Oracle Identity Manager内のSPML Webサービスがリスリングするポートの番号を入力します。

    サンプル値: 8080

    管理者ログイン

    コネクタでパスワード同期操作中にOracle Identity Managerへのログインに使用されるアカウントのユーザー名を入力します。このアカウントには、OIMユーザーのパスワードを変更するのに必要な権限を割り当てる必要があります。

    管理者パスワード

    コネクタでパスワード同期操作中にOracle Identity Managerへのログインに使用されるアカウントのパスワードを入力します。

    OIMユーザー属性

    OIMユーザーをターゲット・システム内のユーザーと比較するときに使用するUSR表の中に、列のメタデータ列コードを入力します。パスワード同期時に、パスワードを変更するユーザーに対応するsAMAccountNameの値が、この列の中にある値と比較されます。

    サンプル値(事前定義済のOIMUserフィールドの場合): Users.User ID

    ユーザー定義OIMUserフィールドの場合は、USR_UDF_FIELD_NAMEフォーマットを使用できます。

    サンプル値: USR_UDF_USERNAME

    物理的な列名とメタデータ列コードの間でのマッピングの詳細は、『Oracle Identity Manager API使用法ガイド』の付録「メタデータ列コード」を参照してください。

    OIMアプリケーション・サーバー・タイプ

    Oracle Identity Managerをホストするアプリケーション・サーバーの名前を選択します。

    サンプル値: JBoss

    SSLの使用

    Oracle Identity ManagerとMicrosoft Active Directoryとの間でSSL通信を構成する場合は、「はい」を選択します。そうではない場合、「いいえ」を選択します。

    デフォルト値: はい

    注意: SSLを構成してターゲット・システムからOracle Identity ManagerへのSOAPメッセージの送信を保護することをお薦めします。SSLの有効化の詳細は、「SSLの構成」を参照してください。

    クライアント証明書のサブジェクト名

    Use SSLパラメータをYesに設定し、アプリケーション・サーバーでクライアント認証が必要とされている場合のみ、このパラメータに値を入力します。

    SSLに関して使用する必要のあるクライアント証明書を識別する文字列を入力します。

    サンプル値: TQL17

    ここで、TQL17は証明書内の発行先の値です。


  11. 「次へ」をクリックします。

  12. 「構成パラメータ情報」ページで、次のフィールドに値を入力します。

    • OIMとのパスワード同期が行われた後の時間間隔 - (分単位): このフィールドには整数値を入力します。この値は、パスワード変更イベントの処理相互間でコネクタがスリープする分数を表します。メモリー内および永続キュー内にあるすべての変更イベントを処理した後、コネクタはスリープ・モードに移行します。

      デフォルト値: 1

    • パスワードをADからOIMに同期する際の最大再試行数: 整数値を入力します。この値は、パスワード変更レコードを永続キューから削除する前に、コネクタがパスワードの伝播を試行する回数を表します。

      デフォルト値: 5

    図2-5に、サンプル値が指定されたコネクタ構成パラメータ・ページのスクリーンショットを示します。

    図2-5 「構成パラメータ」ページ(インストール)

    図2-5の説明が続きます
    「図2-5 「構成パラメータ」ページ(インストール)」の説明

  13. 「次へ」をクリックします。

  14. 「サマリー」ページで、コネクタのインストール・ディレクトリが正しく表示されていることを確認し、「次へ」をクリックします。


    注意:

    インストール・ディレクトリを変更する必要がある場合には、「インストール・ディレクトリ」ページが表示されるまで「戻る」をクリックし、必要な変更を行ってからインストール手順を再度進めます。

    図2-6に、「サマリー」ページを示します。


    注意:

    64ビット版のMicrosoft Windowsオペレーティング・システムにコネクタをインストールする場合、次のステップに進む前に、oimadpwdsync10.dllファイルおよびorclmessages.dllファイルをWindows\SysWOW64ディレクトリからWINDOWS\system32ディレクトリにコピーします。

    図2-6 「サマリー」ページ(インストール)

    図2-6の説明が続きます
    「図2-6 「サマリー」ページ(インストール)」の説明

  15. 次のページで、「次へ」をクリックし、コンピュータを再起動します。

oimadpwdsync10.dllファイルを初期化するために、コンピュータを再起動する必要があります。oimadpwdsync10.dllファイルが初期化されていない場合は、コネクタによる、ターゲット・システムからOracle Identity Managerへのパスワード変更の伝播の準備ができていません。

コネクタによるパスワード伝播の準備ができていることの確認

コネクタによる、ターゲット・システムからOracle Identity Managerへのパスワード変更の伝播の準備ができていることを確認するために、oimadpwdsync10.dllファイルが初期化されたことをチェックする必要があります。

oimadpwdsync10.dllファイルが初期化されたことを確認するには、次のようにします。

  1. 「パスワード同期の無効化および有効化」で説明されている手順を実行し、TIME_STAMPOIMMain.logファイルへのロギングを有効にします。

  2. 「コネクタのインストール」のステップ8を実行するときに、「ログ・ファイル・パス」フィールドで指定したパスの中にTIME_STAMPOIMMain.logファイルが生成されているかどうかを確認します。

    TIME_STAMPOIMMain.logファイルが生成されている場合は、oimadpwdsync10.dllファイルは初期化されます。そうでない場合は、コネクタを再インストールする必要があります。

2.2.2 コネクタの再構成

コネクタをインストールするときに、Microsoft Active Directory、Oracle Identity Managerおよびコネクタの構成パラメータに値を指定します。コネクタをインストールした後、いずれかの構成パラメータの値を変更する場合は、この項で説明する手順を実行する必要があります。

コネクタを再構成するには、次のようにします。

  1. Microsoft Active Directoryのホスト・コンピュータで、tempディレクトリに配置されているsetup.exeファイルを実行します。

  2. 「ようこそ」ページで、「次へ」をクリックします。

  3. 「Active Directory構成パラメータ」ページで、必要な場合は次のパラメータのいずれかまたはすべてで値を変更します。

    • ドメイン

    • ベースDN

    • ポート

    • ホスト

    図2-2に、サンプル値が指定された「Active Directory構成パラメータ」ページを示します。

    図2-7 Active Directory構成パラメータ(再構成)

    図2-7の説明が続きます
    「図2-7 Active Directory構成パラメータ(再構成)」の説明

  4. 「次へ」をクリックします。

  5. 「Oracle Identity Manager構成パラメータ」ページで、必要な場合は次のパラメータのいずれかまたはすべてで値を変更します。

    • ホスト

    • ポート

    • OIMユーザー属性

    • OIMアプリケーション・サーバー・タイプ

    • SSLの使用

    • クライアント証明書のサブジェクト名

    図2-4に、サンプル値が指定された「Oracle Identity Manager構成パラメータ」ページを示します。

    図2-8 「Oracle Identity Manager構成パラメータ」ページ(再構成)

    図2-8の説明が続きます
    「図2-8 「Oracle Identity Manager構成パラメータ」ページ(再構成)」の説明

  6. 「次へ」をクリックします。

  7. 「構成パラメータ情報」ページで、必要な場合は次のフィールドのいずれかまたはすべてで値を変更します。

    • OIMとのパスワード同期が行われた後の時間間隔 - (分単位)*

    • パスワードをADからOIMに同期する際の最大再試行数*

    図2-5に、サンプル値が指定された「構成パラメータ」ページのスクリーンショットを示します。

    図2-9 「構成パラメータ」ページ(再構成)

    図2-9の説明が続きます
    「図2-9 「構成パラメータ」ページ(再構成)」の説明

  8. コネクタを再構成するには、「次へ」をクリックします。

  9. 2番目の「Active Directory構成パラメータ」ページで、いずれかのフィールドの値を変更する場合は、このページに表示されているすべてのフィールドに値を入力する必要があります。そうでない場合は、すべてのフィールドを空白にし、次のステップに進みます。

    2番目の「Active Directory構成パラメータ」ページで、次のフィールドが表示されます。

    • Active Directoryユーザー

    • Active Directoryユーザー・パスワード

    • Oracle Identity Managerユーザー

    • Oracle Identity Managerユーザー・パスワード

    図2-10に、サンプル値が指定された2番目の「Active Directory構成パラメータ」ページのスクリーンショットを示します。

    図2-10 2番目の「Active Directory構成パラメータ」ページ(再構成)

    図2-10の説明が続きます
    「図2-10 2番目の「Active Directory構成パラメータ」ページ(再構成)」の説明

  10. 2番目の「Active Directory構成パラメータ」ページで、「次へ」をクリックします。

  11. 次のページで、「終了」をクリックし、コネクタの再構成手順を完了します。

2.3 インストール後の作業

コネクタのインストール後には、次の手順を実行する必要があります。

2.3.1 ロギングの有効化と無効化

ログ・ファイルには、パスワード同期の際に発生するイベントの情報が含まれています。ログ・ファイルを使用して、パスワード同期の際に発生する可能性のあるエラーの原因を決定できます。

このコネクタにより、3つのログ・ファイルが提供されます。各ログ・ファイルの名前にはTIME_STAMPという接頭辞が付きますが、これはログ・ファイルの作成時刻を表します。

次に、このコネクタのログ・ファイルのリストと説明を示します。


注意:

ログ・ファイルの名前は変更できません。また、ログ・ファイルのログ・レベルを指定または変更することもできません。デフォルトのログ・レベルはDEBUGです。

  • TIME_STAMP_PasswordChange.log

    このファイルには、コネクタが有効化されたかどうかに関する情報が格納されます。TIME_STAMP_PasswordChange.logというファイル名のうち、TIME_STAMPYearMonthDayHourMinuteSecondMillisecondフォーマットでログ・ファイルの作成時刻を表します。

    サンプル値: 200931801311828_PasswordChange.log

    TIME_STAMP_PasswordChange.logファイルは、oimadpwdsync10.dllファイルが初期化されるたびに生成されます。コネクタをホストしているコンピュータを再起動するときに、oimadpwdsync10.dllファイルが初期化されます。

  • TIME_STAMPOIMMain.log

    このファイルには、メモリー内キューと永続キューに保存されているパスワード変更レコードが処理されている間に発生したイベントの情報が格納されます。TIME_STAMPOIMMain.logというファイル名のうち、TIME_STAMPYearMonthDayフォーマットでログ・ファイルの作成時刻を表します。

    サンプル値: 2009318OIMMain.log

    TIME_STAMPOIMMain.logファイルは、パスワード更新スレッドが作成されるたびに生成されます。

  • TIME_STAMP_adsi_debug.log

    このファイルには、Microsoft Active Directory内でパスワードが変更された時刻以降、パスワードの変更がメモリー内キューに保存された時刻までに発生したイベントの情報が格納されます。TIME_STAMP_adsi_debug.logというファイル名のうち、TIME_STAMPYearMonthDayHourMinuteSecondMillisecondフォーマットでログ・ファイルの作成時刻を表します。

    サンプル値: 2009318212319187_adsi_debug.log

    TIME_STAMP_adsi_debug.logファイルは、パスワード変更イベントが発生されるたびに生成されます。

ロギングを有効または無効にするには、次のようにします。

デフォルトでは、ロギングはパスワード同期コネクタに対して無効化されます。コネクタをインストールした後、ロギングを有効にする場合、またはロギングを有効にした後で無効にする場合は、この項で説明する手順を実行します。


注意:

この項で説明する手順は、ターゲット・システムのホスト・コンピュータで実行する必要があります。

  1. 「スタート」メニューから、「ファイル名を指定して実行」をクリックします。

  2. 「ファイル名を指定して実行」ダイアログ・ボックスで、regeditを入力します。

  3. レジストリ・エディタ・ウィンドウの左ナビゲーション・ペインで次のようにします。

    • TIME_STAMP_PasswordChange.logファイルへのイベントのロギングを有効または無効にする場合は、次のようにします。

      1. 次のキーに移動します。

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\oimpwdsync\ADConfig

      2. 右ペインで、Logの値をダブルクリックします。

    • TIME_STAMPOIMMain.logファイルへのイベントのロギングを有効または無効にする場合は、次のようにします。

      1. 次のキーに移動します。

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\oimpwdsync\OIMConfig

      2. 右ペインで、OIMLogの値をダブルクリックします。

    • TIME_STAMP_adsi_debug.logファイルへのイベントのロギングを有効または無効にする場合は、次のようにします。

      1. 次のキーに移動します。

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\oimpwdsync\ADConfig

      2. 右ペインで、Logの値をダブルクリックします。

  4. 「文字列の編集」ダイアログ・ボックスで次のようにします。

    • ロギングを無効にする場合は、「値のデータ」フィールドにNを入力します。

    • ロギングを有効にする場合は、「値のデータ」フィールドにYを入力します。

  5. 「OK」をクリックします。

  6. TIME_STAMP_PasswordChange.logファイルへのイベントのロギングを有効または無効にした場合は、変更を有効にするためにコンピュータを再起動します。

2.3.2 ターゲット・システムのITリソースの構成


注意:

リリース9.1.1より前のリリースであるUser Management Connectorをインストールした場合は、AD Sync installedパラメータの値をnoに設定する必要があります。たとえば、User Management Connectorリリース9.1.0をインストールした場合は、AD Sync installedパラメータの値をnoに設定する必要があります。

ユーザー管理コネクタをインストールする際に、Oracle Identity ManagerにADITResource ITリソースが作成されます。Allow Password Provisioningパラメータは、User Management Connector用のパラメータです。

ターゲット・システムをパスワードの信頼できるソースとして使用する場合は、Allow Password Provisioningパラメータをnoに設定します。このパラメータの値をnoに設定した場合は、User Management Connectorによって、Oracle Identity Managerからターゲット・システムにパスワードの変更が伝播されません。

Allow Password Provisioningパラメータをyesに設定する場合は、次のようにします。

  • OIMユーザーに対してMicrosoft Active Directoryリソースがプロビジョニングされている場合は、次のようになります。

    1. Microsoft Active Directory上でアカウント・データが作成されます。

    2. アカウントのパスワードはコネクタによって検出され、Oracle Identity Managerに送信されます。

    3. Oracle Identity Manager上で、パスワードは、Active Directoryの現在のパスワードと比較されます。両方のパスワードが同じなので、これ以上のアクションは実施されません。

    4. パスワード履歴ポリシーが設定されている場合は、SPMLリクエスト(パスワード同期コネクタによって送信された)に対応する例外が発生します。この例外は無視できます。

  • Microsoft Active DirectoryリソースのパスワードがOracle Identity Manager上で変更された場合は、次のようになります。

    1. User Management Connectorによって、パスワードはMicrosoft Active Directoryに送信されます。

    2. 更新済のパスワードはコネクタによって検出され、Oracle Identity Managerに送信されます。

    3. Oracle Identity Manager上で、パスワードは、Active Directoryの現在のパスワードと比較されます。両方のパスワードが同じなので、これ以上のアクションは実施されません。

    4. パスワード履歴ポリシーが設定されている場合は、SPMLリクエスト(パスワード同期コネクタによって送信された)に対応する例外が発生します。この例外は無視できます。

  • Microsoft Active Directory上でパスワードが変更された場合は、次のようになります。

    1. 更新済のパスワードはコネクタによって検出され、Oracle Identity Managerに送信されます。

    2. Oracle Identity Manager上で、パスワードは、Active Directoryの現在のパスワードと比較されます。両方のパスワードが異なっているので、Microsoft Active DirectoryリソースのパスワードがOracle Identity Manager上で更新されます。

    3. 更新済のパスワードはUser Management Connectorによって検出され、Microsoft Active Directoryに送信されます。

    4. Microsoft Active Directoryのパスワードが、ユーザーによって設定されたパスワードと同じである場合も、このパスワードは変更されます。

    5. アカウントのパスワードはパスワード同期コネクタによって検出され、Oracle Identity Managerに送信されます。

    6. Oracle Identity Manager上で、パスワードは、Active Directoryの現在のパスワードと比較されます。両方のパスワードが同じなので、これ以上のアクションは実施されません。

    7. Oracle Identity Manager上でパスワード履歴ポリシーが設定されている場合は、SPMLリクエスト(パスワード同期コネクタによって送信された)に対応する例外が発生します。この例外は無視できます。

2.3.2.1 Allow Password Provisioningパラメータの値の指定


注意:

この手順は、User Management Connectorがインストールされている場合にのみ実行します。

Allow Password Provisioningパラメータの値は、次の方法で指定できます。

  1. 管理およびユーザー・コンソールにログインします。

  2. 「リソース管理」を開きます。

  3. 「ITリソースの管理」をクリックします。

  4. 「ITリソースの管理」ページの「ITリソース名」フィールドにADITResourceと入力し、「検索」をクリックします。

  5. ITリソースの「編集」アイコンをクリックします。

  6. ページ上部にあるリストから、「詳細およびパラメータ」を選択します。

  7. User Management Connectorとパスワード同期コネクタを機能させる方法に基づいて、Allow Password Provisioningパラメータにyesまたはnoどちらかの値を入力します。

  8. リリース9.1.1より前のリリースであるUser Management Connectorをインストールした場合は、AD Sync installedパラメータの値をnoに設定する必要があります。

2.3.3 Microsoft Active Directoryの強力なパスワード認証(パスワードの複雑さのチェック)機能の有効化


注意:

この項で説明されている手順を実行するには、管理者アカウントを使用する必要があります。

Microsoft Active Directoryでは、パスワード・フィルタの実装によって強力なパスワード認証機能が提供されます。このパスワード・フィルタをコネクタとともに使用するには、次に示すMicrosoft社のWebサイトで、「パスワードは、複雑さの要件を満たす必要がある」というポリシー設定を有効化する手順に従ってください。

http://www.microsoft.com/technet/

このポリシー設定を有効化した場合、Microsoft Active Directoryでのパスワード変更は、強力なパスワード認証の要件を満たしているかチェックされた後でコネクタに渡されます。

2.3.4 SSLの構成


注意:

本番環境では、コネクタとOracle Identity Manager間にSSL通信を構成することをお薦めします。

ただし、(サーバーでSSLを使用する)セキュア・クライアント操作の構成は、すべてのクライアントに影響します。つまり、コネクタとOracle Identity Managerの通信を保護するためにSSLを使用すると、Oracle Identity Manager Design Consoleおよびその他のカスタム・クライアントも、SSLを使用してOracle Identity Managerと通信することになります。


Microsoft Active DirectoryからOracle Identity Managerへのパスワードの伝播を保護するには、SSLを構成する必要があります。実行する手順は、Oracle Identity Managerが稼働しているアプリケーション・サーバーによって異なります。


関連項目:

Oracle Identity ManagerからMicrosoft Active Directoryへのデータ転送を保護するためのSSL構成の詳細は、『Oracle Identity Manager Microsoft Active Directory User Management Connectorガイド』のSSLの構成に関する項を参照してください。

2.3.4.1 IBM WebSphereアプリケーション・サーバーでのSSLの構成

次の各項では、Oracle Identity ManagerがIBM WebSphereアプリケーション・サーバー上で実行されている場合にSSL通信を有効化する方法の詳細を説明します。

2.3.4.1.1 証明書のエクスポート

注意:

この項で説明する手順は、IBM WebSphereアプリケーション・サーバーのホスト・コンピュータで実行する必要があります。

IBM WebSphereアプリケーション・サーバーの証明書をエクスポートするには、次のようにします。

  1. ターミナル・ウィンドウで、WEBSPHERE_HOME\AppServer\java\jre\binディレクトリに移動します。

  2. 次のコマンドを実行します。

    keytool -export -alias default -file CERT_FILE_NAME -keypass 
    DEFAULT_TRUST_STORE_PASSWORD -keystore DEFAULT_IDENTITY_STORE -storepass 
    DEFAULT_IDENTITY_STORE_PASSWORD -storetype pkcs12 -provider com.ibm.crypto.provider.IBMJCE
    

    コマンドの説明は次のとおりです。

    • CERT_FILE_NAMEは、証明書ファイルのフルパスと名前です。

    • DEFAULT_TRUST_STORE_PASSWORDは、デフォルトのトラスト・ストアtrust.p12のパスワードです。

    • DEFAULT_IDENTITY_STOREは、デフォルトのアイデンティティ・ストアであるkey.p12証明書のフルパスと名前です。

    • DEFAULT_IDENTITY_STORE_PASSWORDは、デフォルトのアイデンティティ・ストアであるkey.p12のパスワードです。

    次に、サンプル・コマンドを示します。

    keytool -export -alias default -file C:\mycertificates\websp.cer -keypass WebAS 
    -keystore C:\Program Files\IBM\WebSphere\AppServer\profiles\AppSrv06\etc\key.p12 -storepass WebAS 
    -storetype pkcs12 -provider com.ibm.crypto.provider.IBMJCE
    

    コマンドを実行すると、WEBSPHERE_HOME\AppServer\java\jre\binディレクトリにアプリケーション・サーバーの証明書が生成されます。

2.3.4.1.2 証明書のインポート

注意:

この項で説明する手順は、Microsoft Active Directoryのホスト・コンピュータで実行する必要があります。

アプリケーション・サーバーの証明書をインポートするには、次のようにします。

  1. 「証明書のエクスポート」でエクスポートした)証明書を、Microsoft Active Directoryホスト・コンピュータの任意のディレクトリにコピーします。

  2. 「スタート」をクリックした後、「ファイル名を指定して実行」をクリックします。

  3. 次のコマンドを入力して、「OK」をクリックします。

    mmc

    Microsoft管理コンソールが表示されます。

  4. 「ファイル」メニューから、「スナップインの追加と削除」を選択します。

  5. 「スナップインの追加と削除」ダイアログ・ボックスで、「追加」をクリックします。

  6. 「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「証明書」を選択して「追加」をクリックします。

  7. 「証明書スナップイン」ダイアログ・ボックスで、「コンピュータ アカウント」を選択して「次へ」をクリックします。

  8. 「コンピュータの選択」ダイアログ・ボックスで、デフォルトを受け入れ、「完了」をクリックします。

  9. 「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「閉じる」をクリックします。

  10. 「スナップインの追加と削除」ダイアログ・ボックスで、「OK」をクリックします。

  11. 左ペインにある「コンソール ルート」ウィンドウで、「コンソール ルート」フォルダの下にある「証明書 (ローカル コンピュータ)」を開きます。

  12. 「信頼されたルート証明機関」を開き、「証明書」を右クリックし、「すべてのタスク」を選択してから「インポート」をクリックします。

    証明書のインポート ウィザードが表示されます。

  13. 「証明書のインポート ウィザードの開始」ページで、「次へ」をクリックします。

  14. 「インポートする証明書ファイル」ページで、エクスポート済証明書のコピー先ディレクトリに対応するパスを指定するか、「参照」ボタンを使用してエクスポート済証明書のコピー先ディレクトリを指定します。

  15. 「次へ」をクリックします。

  16. 「証明書ストア」ページで、「証明書をすべて次のストアに配置する」を選択して「次へ」をクリックします。

  17. 「証明書のインポート ウィザードの完了」ページで、「完了」をクリックします。

    正常にインポートされたことを示すメッセージが表示されます。

  18. 「OK」をクリックして「証明書のインポート ウィザード」ダイアログ・ボックスを閉じます。

2.3.4.1.3 追加の構成手順

注意:

この項で説明する手順は、IBM WebSphereクライアントのホスト・コンピュータで実行する必要があります。

OIM_DC_HOME\xlclient\extディレクトリにあるxlDataObjectBeans.jarファイルを抽出し、WEBSPHERE_HOME\profiles\PROFILE_NAME\installedApps\NODE_NAME\OIM-xell-WS.ear\spmlws.war\WEB-INF\libディレクトリにコピーします。

各変数は次のとおりです。

  • OIM_DC_HOMEはOracle Identity Manager Design Consoleがインストールされているディレクトリです。

  • WEBSPHERE_HOMEは、WebSphereのホーム・ディレクトリです。

  • PROFILE_NAMEは、使用されているアプリケーション・サーバー・プロファイルの名前です。

  • NODE_NAMEは、アプリケーション・サーバー・プロファイルが使用するノードの名前です。

2.3.4.2 JBoss Application ServerでのSSLの構成

次の各項では、Oracle Identity ManagerがJBoss Application Server上で実行されている場合にSSL通信を有効化する方法の詳細を説明します。

2.3.4.2.1 キーの生成

keytoolコマンドを使用して、キーを生成します。次のkeytoolコマンドを使用して、アンデンティティ・キーストアを生成します。jbossserver.jks:

keytool -genkey -alias PRIVATE_KEY_ALIAS -keyalg RSA -keysize 1024 -dname DN_VALUE 
-keypass PRIVATE_KEY_PASSWORD -keystore IDENTITY_STORE_FILE -storepass 
IDENTITY_STORE_FILE_PASSWORD -storetype jks

コマンドの説明は次のとおりです。

  • PRIVATE_KEY_ALIASは、秘密鍵に使用する別名です。

  • PRIVATE_KEY_PASSWORDは、秘密鍵に使用するパスワードです。

  • DN_VALUEは、組織の識別名(DN)です。

    DNの共通名(CN)の値は、Oracle Identity Managerサーバーのホスト名であることが必要です。

  • IDENTITY_STORE_FILEは、使用するアイデンティティ・ストアです。

  • IDENTITY_STORE_FILE_PASSWORDは、使用するアイデンティティ・ストアのパスワードです。

次に、サンプル・コマンドを示します。

keytool -genkey -alias serverjboss -keyalg RSA -keysize 1024 -dname "CN=myhost" 
-keypass welcome -keystore E:\jboss-4.0.3SP1\server\jbossserver.jks -storepass 
welcome -storetype jks
2.3.4.2.2 証明書への署名

作成した証明書に署名するには、次のkeytoolコマンドを使用します。

keytool -selfcert -alias PRIVATE_KEY_ALIAS -sigalg MD5withRSA -validity 2000 
-keypass PRIVATE_KEY_PASSWORD -keystore IDENTITY_STORE_FILE -storepass 
IDENITTY_STORE_FILE_PASSWORD

注意:

証明書の署名には、VeriSignやThawteなどの信頼できる認証局を使用することをお薦めします。

次に、サンプル・コマンドを示します。

keytool -selfcert -alias serverjboss -sigalg MD5withRSA -validity 2000 
-keypass welcome -keystore  E:\jboss-4.0.3SP1\server\jbossserver.jks -storepass welcome
2.3.4.2.3 証明書のエクスポート

アイデンティティ・キーストアからファイルに証明書をエクスポートするには、次のkeytoolコマンドを使用します。

keytool -export -alias PRIVATE_KEY_ALIAS -file CERT_FILE_NAME -keypass 
PRIVATE_KEY_PASSWORD -keystore IDENITTY_STORE_FILE -storepass 
IDENTITY_STORE_FILE_PASSWORD -storetype jks -provider sun.security.provider.Sun

このコマンドで、CERT_FILE_NAMEを、証明書ファイルに使用する名前に置き換えます。

次に、サンプル・コマンドを示します。

keytool -export -alias serverjboss -file E:\jboss-4.0.3SP1\server\jbossserver.cert 
-keypass welcome -keystore E:\jboss-4.0.3SP1\server\jbossserver.jks -storepass 
welcome -storetype jks -provider sun.security.provider.Sun
2.3.4.2.4 証明書のインポート

アプリケーション・サーバーの証明書をインポートするには、次のようにします。

  1. 「証明書のエクスポート」でエクスポートした)証明書を、Microsoft Active Directoryホスト・コンピュータの任意のディレクトリにコピーします。

  2. 「スタート」をクリックした後、「ファイル名を指定して実行」をクリックします。

  3. 次のコマンドを入力して、「OK」をクリックします。

    mmc

    Microsoft管理コンソールが表示されます。

  4. 「ファイル」メニューから、「スナップインの追加と削除」を選択します。

  5. 「スナップインの追加と削除」ダイアログ・ボックスで、「追加」をクリックします。

  6. 「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「証明書」を選択して「追加」をクリックします。

  7. 「証明書スナップイン」ダイアログ・ボックスで、「コンピュータ アカウント」を選択して「次へ」をクリックします。

  8. 「コンピュータの選択」ダイアログ・ボックスで、デフォルトを受け入れ、「完了」をクリックします。

  9. 「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「閉じる」をクリックします。

  10. 「スナップインの追加と削除」ダイアログ・ボックスで、「OK」をクリックします。

  11. 左ペインにある「コンソール ルート」ウィンドウで、「コンソール ルート」フォルダの下にある「証明書 (ローカル コンピュータ)」を開きます。

  12. 「信頼されたルート証明機関」を開き、「証明書」を右クリックし、「すべてのタスク」を選択してから「インポート」をクリックします。

    証明書のインポート ウィザードが表示されます。

  13. 「証明書のインポート ウィザードの開始」ページで、「次へ」をクリックします。

  14. 「インポートする証明書ファイル」ページで、エクスポート済証明書のコピー先ディレクトリに対応するパスを指定するか、「参照」ボタンを使用してエクスポート済証明書のコピー先ディレクトリを指定します。

  15. 「次へ」をクリックします。

  16. 「証明書ストア」ページで、「証明書をすべて次のストアに配置する」を選択して「次へ」をクリックします。

  17. 「証明書のインポート ウィザードの完了」ページで、「完了」をクリックします。

    正常にインポートされたことを示すメッセージが表示されます。

  18. 「OK」をクリックして「証明書のインポート ウィザード」ダイアログ・ボックスを閉じます。

2.3.4.2.5 server.xmlファイルの構成

次のエントリを、OIM_HOME\jboss-4.0.3SP1\server\default\deploy\jbossweb-tomcat55.sarディレクトリに配置されているserver.xmlファイルにコピーします。

<Connector port="8443" address="${jboss.bind.address}"
           maxThreads="100" strategy="ms" maxHttpHeaderSize="8192"
           emptySessionPath="true"
           scheme="https" secure="true" clientAuth="false"
              sslProtocol="TLS"
           keystoreFile="E:\jboss-4.0.3SP1\server\jbossserver.jks"
           keystorePass="welcome"
           truststoreFile="E:\jboss-4.0.3SP1\server\jbossserver.jks"
           truststorePass="welcome"/>

前述のステップを実行した後、変更内容が反映されるようにサーバーを再起動します。

2.3.4.3 Oracle Application ServerでのSSLの構成

次の各項では、Oracle Identity ManagerがOracle Application Server上で実行されている場合にSSL通信を有効化する方法の詳細を説明します。

2.3.4.3.1 Oracle HTTP ServerへのHTTP通信に対するSSLの有効化

デフォルトで、Oracle HTTP ServerはSSLを使用して構成されており、SSL証明書ストアはORACLE_HOME\Apache\Apache\conf\ssl.wlt\default\にあります。ORACLE_HOME\Apache\Apache\conf\ssl.confファイルのリスニング・パラメータは、Oracle HTTP Serverが使用するSSLポートを指しています。

Oracle HTTP Serverに対してカスタム・ウォレットと証明書を作成する必要があります。

Oracle HTTP Serverに対するカスタム・ウォレットと証明書の作成

Oracle HTTP Serverに対してカスタム・ウォレットと証明書を作成するために、次のステップを実行します。

  1. カスタム・ウォレットを作成するには、次のコマンドを実行します。

    orapki wallet create -wallet WALLET_LOCATION -auto_login
    

    このコマンドでは、WALLET_LOCATIONはウォレットの作成先であるディレクトリのパスです。

  2. 自己署名された証明書を追加するには、次のコマンドを実行します。

    orapki wallet add -wallet WALLET_LOCATION -dn CN=HOSt_NAME -keysize 2048 -self_signed -validity 3650
    

    プロンプトに対して、ウォレット・パスワードを入力します。

    この結果、3650日の有効期限を持つ自己署名された証明書が作成されます。件名の識別名はCN=HOST_NAMEです。ここで、HOST_NAMEはマシンのホスト名です。証明書のキー・サイズは2048ビットです。


    注意:

    適切な認証局から証明書を取得したことを確認します。

  3. 自己署名された証明書をエクスポートするには、次のコマンドを実行します。

    orapki wallet export -wallet WALLET_LOCATION -dn 'CN=HOST_NAME' -cert WALLET_LOCATION/b64certificate.txt
    

    このコマンドで、HOST_NAMEの値は、ステップ2で指定したHOST_NAMEの値と同じであることが必要です。

  4. ORACLE_HOME/Apache/Apache/conf/に配置されているssl.confファイルを次のように編集します。

    1. テキスト・エディタでssl.confファイルを開き、次のエントリを探します。

      SSLWallet file:
      
    2. (ステップ1で指定した)WALLET_LOCATIONを、SSLWallet file:エントリの値として入力します。

      次に、SSLWallet file:エントリのサンプル値を示します。

      SSLWallet file:/home/testoc4j/OIM9102/product/10.1.3.1/OracleAS_1/Apache/Apache/conf/ssl.wlt/default
      
    3. 更新したssl.confファイルを保存して閉じます。

  5. Oracle Application Serverを再起動します。

2.3.4.3.2 証明書のエクスポート

「Oracle HTTP Serverに対するカスタム・ウォレットと証明書の作成」のステップ1で指定したWALLET_LOCATIONディレクトリからアプリケーション・サーバーの証明書をエクスポートするには、Oracle Wallet Managerを起動した後、次のステップを実行します。


注意:

デフォルトのOracleウォレット・ディレクトリはORACLE_HOME\Apache\Apache\conf\ssl.wlt\default\ewallet.p12です。

  1. 使用するオペレーティング・システムに応じて、次のいずれかの手順を実行してOracle Wallet Managerを起動します。

    • Microsoft Windowsの場合は、「スタート」「プログラム」「ORACLE-HOME_NAME」「Integrated Management Tools」「Wallet Manager」をクリックします。

    • UNIXの場合は、ターミナル・ウィンドウで、ORACLE_HOME/binディレクトリに移動し、owmコマンドを入力します。

  2. Oracle Wallet Managerを使用して、WALLET_LOCATIONディレクトリを開きます。

  3. 要求された場合に、(「Oracle HTTP Serverに対するカスタム・ウォレットと証明書の作成」のステップ2で指定した)ウォレット・パスワードをストア・パスワードとして入力します。

  4. 証明書(準備完了)を右クリックし、「ユーザー証明書のエクスポート」をクリックします。

  5. ファイル名としてserver.certを入力し、ファイルを保存します。

    Oracle Application Serverは、コネクタがこの証明書を使用することで信頼されます。


    関連項目:

    Oracle Wallet Managerの詳細は、『Oracle Application Server管理者ガイド』のSecure Sockets Layerに関する項を参照してください。

2.3.4.3.3 証明書のインポート

アプリケーション・サーバーの証明書をインポートするには、次のようにします。

  1. 「Oracle HTTP Serverに対するカスタム・ウォレットと証明書の作成」のステップ3 でエクスポートした)証明書を、Microsoft Active Directoryホスト・コンピュータの任意のディレクトリにコピーします。

  2. 「スタート」をクリックした後、「ファイル名を指定して実行」をクリックします。

  3. 次のコマンドを入力して、「OK」をクリックします。

    mmc

    Microsoft管理コンソールが表示されます。

  4. 「ファイル」メニューから、「スナップインの追加と削除」を選択します。

  5. 「スナップインの追加と削除」ダイアログ・ボックスで、「追加」をクリックします。

  6. 「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「証明書」を選択して「追加」をクリックします。

  7. 「証明書スナップイン」ダイアログ・ボックスで、「コンピュータ アカウント」を選択して「次へ」をクリックします。

  8. 「コンピュータの選択」ダイアログ・ボックスで、デフォルトを受け入れ、「完了」をクリックします。

  9. 「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「閉じる」をクリックします。

  10. 「スナップインの追加と削除」ダイアログ・ボックスで、「OK」をクリックします。

  11. 左ペインにある「コンソール ルート」ウィンドウで、「コンソール ルート」フォルダの下にある「証明書 (ローカル コンピュータ)」を開きます。

  12. 「信頼されたルート証明機関」を開き、「証明書」を右クリックし、「すべてのタスク」を選択してから「インポート」をクリックします。

    証明書のインポート ウィザードが表示されます。

  13. 「証明書のインポート ウィザードの開始」ページで、「次へ」をクリックします。

  14. 「インポートする証明書ファイル」ページで、エクスポート済証明書のコピー先ディレクトリに対応するパスを指定するか、「参照」ボタンを使用してエクスポート済証明書のコピー先ディレクトリを指定します。

  15. 「次へ」をクリックします。

  16. 「証明書ストア」ページで、「証明書をすべて次のストアに配置する」を選択して「次へ」をクリックします。

  17. 「証明書のインポート ウィザードの完了」ページで、「完了」をクリックします。

    正常にインポートされたことを示すメッセージが表示されます。

  18. 「OK」をクリックして「証明書のインポート ウィザード」ダイアログ・ボックスを閉じます。

2.3.4.4 Oracle WebLogic ServerでのSSLの構成

次の各項では、Oracle Identity ManagerがOracle WebLogic Server上で実行されている場合にSSL通信を有効化する方法の詳細を説明します。

2.3.4.4.1 キーの生成

提供されているkeytoolコマンドを使用して、秘密/公開の証明書のペアを生成します。次のコマンドを実行するとアイデンティティ・キーストアが作成されます。

keytool –genkey -alias PRIVATE_KEY_ALIAS -keyalg RSA -keysize 1024 -dname DN_VALUE 
-keypass PRIVATE_KEY_PASSWORD -keystore IDENTITY_STORE_FILE -storepass 
IDENTITY_STORE_FILE_PASSWORD -storetype jks

コマンドの説明は次のとおりです。

  • PRIVATE_KEY_ALIASは、秘密鍵に使用する別名です。

  • PRIVATE_KEY_PASSWORDは、秘密鍵に使用するパスワードです。

  • DN_VALUEは、組織の識別名(DN)です。

    DNの共通名(CN)の値は、Oracle Identity Managerサーバーのホスト名であることが必要です。

  • IDENTITY_STORE_FILEは、使用するアイデンティティ・ストアです。

  • IDENTITY_STORE_FILE_PASSWORDは、使用するアイデンティティ・ストアのパスワードです。

次に、アイデンティティ・キー・ストア(support.jks)を作成するサンプル・コマンドを示します。

keytool –genkey -alias support -keyalg RSA -keysize 1024 -dname "CN=oimserver" 
-keypass weblogic -keystore C:\bea\user_projects\domains\oim\support.jks -storepass support -storetype jks
2.3.4.4.2 証明書への署名

作成した証明書に署名するには、次のコマンドを使用します。

keytool -selfcert -alias PRIVATE_KEY_ALIAS -sigalg MD5withRSA -validity
2000 -keypass PRIVATE_KEY_PASSWORD -keystore IDENTITY_STORE_FILE -storepass
 IDENITTY_STORE_FILE_PASSWORD -storetype jks

注意:

証明書の署名には、VeriSignやThawteなどの信頼できる認証局を使用することをお薦めします。

次に、サンプル・コマンドを示します。

keytool -selfcert -alias support -sigalg MD5withRSA -validity 2000 -keypass 
weblogic -keystore C:\bea\user_projects\domains\oim\support.jks -storepass support 
-storetype jks
2.3.4.4.3 証明書のエクスポート

アイデンティティ・キーストアからファイルに証明書をエクスポートするには、次のコマンドを使用します。

keytool -export -alias PRIVATE_KEY_ALIAS -file CERT_FILE_NAME -keypass 
PRIVATE_KEY_PASSWORD -keystore IDENITTY_STORE_FILE -storepass 
IDENTITY_STORE_FILE_PASSWORD -storetype jks -provider sun.security.provider.Sun

このコマンドで、CERT_FILE_NAMEを、証明書ファイルのフルパスと名前に置き換えます。

次に、サンプル・コマンドを示します。

keytool -export -alias support -file 
C:\bea\user_projects\domains\oim\supportcert.pem -keypass weblogic -keystore 
C:\bea\user_projects\domains\oim\support.jks -storepass support -storetype jks 
-provider sun.security.provider.Sun
2.3.4.4.4 WebLogic Serverでのカスタム・アイデンティティ・キーストアの構成

カスタム・アイデンティティ・キーストアを構成するには、次のようにします。

  1. WebLogic Server管理コンソールで、「サーバー」「構成」をクリックし、「全般」をクリックします。

  2. 「SSLリスニング・ポートの有効化」を選択します。デフォルト・ポートは7002です。

  3. 管理コンソールで、「サーバー」をクリックします。

  4. 「構成」タブにある表の「名前」列でサーバー名をクリックします。

  5. 「キーストア」タブで、次のようにします。

    1. 「チェンジ・センター」セクションで、「ロックして編集」をクリックし、ページ内の設定を変更できるようにします。

    2. 「キーストア」ボックスで、「カスタムIDとカスタム信頼」を選択し、「続行」をクリックします。

    3. 「カスタムIDキーストア」および「カスタム信頼キーストア」の各フィールドで、カスタム・アイデンティティ・キーストア・ファイルの名前としてC:\bea\user_projects\domains\oim\support.jksを入力します。

    4. 「カスタムIDキーストアのタイプ」フィールドで、JKSを入力します。

    5. 「カスタムIDキーストアのパスフレーズ」および「カスタムIDキーストアのパスフレーズを確認」の各フィールドで、カスタム・アイデンティティ・キーストアのパスワードを入力します。

  6. 「SSL」タブで、次のようにします。

    1. 「チェンジ・センター」セクションで、「ロックして編集」をクリックし、ページ内の設定を変更できるようにします。

    2. 「IDと信頼の場所」ボックスで、「キーストア」を選択します。

    3. 「秘密鍵の別名」フィールドで、秘密キーの別名としてsupportを入力します。

    4. 「秘密鍵のパスフレーズ」および「秘密鍵のパスフレーズを確認」の各フィールドで、パスワード、たとえばsupportを入力します。

  7. 変更内容が反映されるようにサーバーを再起動します。


注意:

クラスタ化インストールの場合は、クラスタ内の各参加ノードですべてのステップを繰り返し、クラスタを再起動します。

2.3.4.4.5 証明書のインポート

アプリケーション・サーバーの証明書をインポートするには、次のようにします。

  1. 「証明書のエクスポート」でエクスポートした)証明書を、Microsoft Active Directoryホスト・コンピュータの任意のディレクトリにコピーします。

  2. 「スタート」をクリックした後、「ファイル名を指定して実行」をクリックします。

  3. 次のコマンドを入力して、「OK」をクリックします。

    mmc

    Microsoft管理コンソールが表示されます。

  4. 「ファイル」メニューから、「スナップインの追加と削除」を選択します。

  5. 「スナップインの追加と削除」ダイアログ・ボックスで、「追加」をクリックします。

  6. 「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「証明書」を選択して「追加」をクリックします。

  7. 「証明書スナップイン」ダイアログ・ボックスで、「コンピュータ アカウント」を選択して「次へ」をクリックします。

  8. 「コンピュータの選択」ダイアログ・ボックスで、デフォルトを受け入れ、「完了」をクリックします。

  9. 「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「閉じる」をクリックします。

  10. 「スナップインの追加と削除」ダイアログ・ボックスで、「OK」をクリックします。

  11. 左ペインにある「コンソール ルート」ウィンドウで、「コンソール ルート」フォルダの下にある「証明書 (ローカル コンピュータ)」を開きます。

  12. 「信頼されたルート証明機関」を開き、「証明書」を右クリックし、「すべてのタスク」を選択してから「インポート」をクリックします。

    証明書のインポート ウィザードが表示されます。

  13. 「証明書のインポート ウィザードの開始」ページで、「次へ」をクリックします。

  14. 「インポートする証明書ファイル」ページで、エクスポート済証明書のコピー先ディレクトリに対応するパスを指定するか、「参照」ボタンを使用してエクスポート済証明書のコピー先ディレクトリを指定します。

  15. 「次へ」をクリックします。

  16. 「証明書ストア」ページで、「証明書をすべて次のストアに配置する」を選択して「次へ」をクリックします。

  17. 「証明書のインポート ウィザードの完了」ページで、「完了」をクリックします。

    正常にインポートされたことを示すメッセージが表示されます。

  18. 「OK」をクリックして「証明書のインポート ウィザード」ダイアログ・ボックスを閉じます。