Error 81 = ldap_connect(hLdap, NULL); 1.1 では、ドメインコントローラー(adサーバー)はデフォルトでldapsが使えるのか?; 2 結論、ldapsを有効化する方法はadサーバーにssl証明書を配置すること Microsoft Active Directory LDAP (2012) でのSSL証明書のインストール方法は、「.pfxファイル証明書をインポートする方法」と、「LDAPを利用するサーバー上で「certreq」を使ってCSRを作成し、取得した証明書をインストールする方法」の2つがあります。   0.1 環境・前提条件; 1 実はadサーバーはデフォルトでldapsのtcpポート番号636はリッスンしているんです! lsitening. ドメインコントローラーにLDAPS接続をしようと試みています。 現在、Webの情報などを参考に下記の内容で実施しているのですが、うまくいきません。 ドメインサーバーの(Activedirectory Domain Service)\NTDS\個人\証明書 に Exportable = TRUE Error <0x51>: Fail to connect to srv03.ドメイン名. MachineKeySet = TRUE CA の既存の IdM ドメインへのインストール; 26.9. LDAPS を介した Active Directory を使用している場合は、LDAP トラフィック用の SSL 証明書をアップロードできます。SSL 証明書は、事前定義された存続期間後に期限が切れます。証明書の有効期限を表示して、期限が切れる前に証明書を交換するか更新するかを判断できます。 ldap アイデンティティ ソースを選択し、ldaps の使用を決めた場合は、ldap トラフィック用の ssl 証明書をアップロードできます。ssl 証明書は、事前定義された存続期間後に有効期限が切れます。証明書の有効期限を知ることで、有効期限の日付前に証明書を交換または更新することができます。 Windows Server 2012 R2 上で動いているドメイン機能レベル・フォレスト機能レベルがWindows Server 2012の, 現在、Webの情報などを参考に下記の内容で実施しているのですが、うまくいきません。, ドメインサーバーの(Activedirectory Domain Service)\NTDS\個人\証明書 に, 別のLinuxサーバー上にOpenSSLで構築した自己CA(CNがドメイン名のCA)で下記リクエスト情報を基に作ったCSRで, サーバー証明書を作成して配置したのですが、ローカルサーバー上でも下記のようなエラーがでてLDAPSが有効にできません。. ;----------------- request.inf -----------------  PrivateKeyArchive = FALSE javaのプログラムからSSLで接続する場合に、OpenSSH等で作成した自己証明書を使っているサイトを利用する場合があると思います。 特に、開発時など、正式な証明書が用意されていない時や、開発環境へのアクセスなどが考えられますね。 それか、証明書のエラーを無視してユーザーの判定をする方法はありませんでしょうか? テスト環境なので、ldapsを辞めてldapにする解決方法以外をご教授下さい。 宜しくお願いします。 SMIME = False Signature="$Windows NT$" KeyLength = 2048 RequestType = PKCS10  [NewRequest] UserProtected = FALSE OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication, [RequestAttributes]  Subject = "C=JP,ST=Tokyo,L=〇〇,OU=System Administrator,O=〇〇,CN=srv03.ドメイン名" CRL 更新間隔の変更; 26.8. LDAP アイデンティティ ソースを選択し、LDAPS の使用を決めた場合は、LDAP トラフィック用の SSL 証明書をアップロードできます。SSL 証明書は、事前定義された存続期間後に有効期限が切れます。証明書の有効期限を知ることで、有効期限の日付前に証明書を交換または更新することができます。, Active Directory LDAP Server または OpenLDAP Server を使用し、サーバに対して ldaps:// URL を指定した場合に限り、証明書の有効期限情報を確認できます。他のタイプのアイデンティティ ソースまたは ldap:// トラフィックの場合、アイデンティティ ソースの [トラストストア] タブには何も表示されません。, 組み込みで展開した場合は、Platform Services Controller のホスト名または IP アドレスは vCenter Server のホスト名または IP アドレスと同じです。, タブの上部に、証明書の有効期限が間もなく切れることを示す警告が表示されることがあります。, administrator@vsphere.local または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。, vCenter Single Sign-On の設定を行うユーザー インターフェイスに移動します。. 27.1. [Version]  ; 中間証明書を使用する場合は、サーバー証明書の後にcert.pemファイルに追加する必要があります。 LDAPSの重要なsmb.confパラメータ LDAPSはさまざまなsmb.confパラメータによって制御され、すべてが "tls"で始まります。 Web サーバーおよび LDAP サーバーの証明書の置き換え; 27. ProviderName = "Microsoft RSA SChannel Cryptographic Provider" OCSP 応答の設定. IdM での Kerberos PKINIT 認証. Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3); ld = ldap_sslinit("srv03.ドメイン名", 636, 1); いつもこの掲示板を参考にしています。Java初心者です。LDAPs認証についてご教授下さい。社内システムのログイン機能でLDAPs認証を使いユーザーの判定を実装したいです。本番時は正規の証明書を使うのですが、テスト時はオレオレ証明書を使います。LDAPの認証方法はいろいろなサイトで探すことが出来たのですが、LDAPs認証だと探し方が悪いのか参考になるソースを見つけることができませんでした。なので、LDAPの認証方法を参考に実装してみたのですが、オレオレ証明書が不正な証明書と認識されエラーとなってしまいました。このオレオレ証明書が不正な証明書と認識されないようにしてユーザーの判定をする方法はございませんでしょうか?それか、証明書のエラーを無視してユーザーの判定をする方法はありませんでしょうか?テスト環境なので、LDAPsを辞めてLDAPにする解決方法以外をご教授下さい。宜しくお願いします。, オレオレ証明書は、LDAP関係なく、SSLに何もしないX509TrustManagerを詰めるのがポイントなんだと思うが。HTTPsだとホスト名の検証もすっ飛ばしたか。LDAPsも同じかな。, X509TrustManagerで無視することが出来ました!勉強になりました。ありがとうございます。. 26.7.1. Server error: レジュメ. HashAlgorithm = SHA256, ------------------------------------------------------------------------------, OpenSSLで作ったCAルート証明書は「エンタープライズの信頼」と「信頼されたルート証明書機関」の両方に配置しています。, なにか特殊な仕様があるのか、Windows Serverの認証局で作った証明書でないと使えないのかなど, https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority, うえのrequest.infで足りないのは、おそらくSAN(Subject Alternative Name)の設定です。うえの資料にあるSubjectだと実質うまくいかないので、SANをDNS Nameで指定するよう、CSRに加える必要があります。, フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。, ご指摘の通り、SANのDNS NameにサーバーのFQDN名を登録したら接続できました。. UseExistingKeySet = FALSE KeyUsage = 0xa0, [EnhancedKeyUsageExtension] 26.6. KeySpec = 1 ProviderType = 12 HTTP または LDAP 用のサードパーティー証明書のインストール; 26.7.