SSL のサポート

デフォルトでは、リポジトリと LDAP サーバーの間の通信は暗号化されません。

リポジトリと LDAP サーバーの間の通信を暗号化するには、このトピックで前述する手順に次の追加と変更を加えます。

LDAP サーバーでの SSL の設定

LDAP サーバーが SSL (Secure Sockets Layer) を使用するように設定されていることを確認します。詳細な手順については、LDAP サーバーに付属のマニュアルを参照してください。

次の手順の準備として、LDAP サーバーの証明書をファイルにエクスポートします。

LDAP サーバーの証明書のインポート

リポジトリの信頼できる証明書のリストに、LDAP サーバーの証明書を追加する必要があります。このリストは cacerts というファイルにあります。

次の手順では、keytool プログラムを使用します。このプログラムは Java SDK に付属しています。

LDAP サーバーの証明書をインポートする

1. JDK-install-dir/jre/bin ディレクトリに移動します。

   リポジトリのインストール時に指定した JDK を使用します。

2. 次のコマンドを実行します。

   keytool -import -trustcacerts -alias alias -file certificate_filename -keystore cacerts_filename

   -alias オプションには任意の値を指定できます。

   -file オプションには、LDAP サーバーの証明書の完全修飾名を指定します。次に例を示します。

   C:\mycertificate.cer

   -keystore オプションには、cacerts ファイルの完全修飾名を指定します。cacerts ファイルは JDK-install-dir/jre/lib/security ディレクトリにあります。次に例を示します。

   C:\Java\jdk1.6.0_06\jre\lib\security\cacerts

3. プロンプトが表示されたら、キーストアのパスワードを入力します。デフォルトのパスワードは changeit です。

4. この証明書を信頼することを確認するプロンプトが表示されたら、yes と入力します。

   次のメッセージが表示されます。

   Certificate was added to keystore

LDAP サーバーの URL の変更

server.xml ファイルの <Realm> 要素で、LDAP サーバーの URL を次のように変更します。

• プロトコルを ldaps に設定します。

• ポート番号を、LDAP サーバーが SSL 要求を待機するポート番号に設定します。通常、この番号は 636 です。

次に例を示します。

<Realm className="org.apache.catalina.realm.JNDIRealm"
    connectionURL="ldaps://myldapserver:636"
    ...