Q&A
AWS上にEC2でテスト環境を構築しています。
テスト対象サービスへのLDAPSでのログインテストについて、
現在、AWS上でWindowsServer2019としてEC2インスタンスを立て、
その中にADLDSをインストールし、LDAPSでのログインを実現しています。
今まではサーバ内で発行した自己証明書を使用してLDAPのSSL化をしていましたが、
サービスのアップデートの都合により、第三者証明機関から信頼のある正式な証明書を
用いてのSSL化が必要となりました。
「Let’s Encrypt」という無料で発行できるSSL証明書があることを知り、
こちらをADLDS内の証明書ディレクトリにインポートできればと考えているのですが、
「win-acme」による対話形式での証明書の取得が上手くいきません。
具体的には、以下の設問で何番を選択すればよいかが分かりません。
The ACME server will need to verify that you are the owner of the domain names that you are requesting the certificate for. This happens both during initial setup *and* for every future renewal. There are two main methods of doing so: answering specific http requests (http-01) or create specific dns records (dns-01). For wildcard domains the latter is the only option. Various additional plugins are available from https://github.com/win-acme/win-acme/. 1: [http-01] Save verification files on (network) path 2: [http-01] Serve verification files from memory 3: [http-01] Upload verification files via FTP(S) 4: [http-01] Upload verification files via SSH-FTP 5: [http-01] Upload verification files via WebDav 6: [dns-01] Create verification records manually (auto-renew not possible) 7: [dns-01] Create verification records with acme-dns (https://github.com/joohoi/acme-dns) 8: [dns-01] Create verification records with your own script 9: [tls-alpn-01] Answer TLS verification request from win-acme C: Abort How would you like prove ownership for the domain(s)?
また、何かしらの選択肢を選んで最後まで進めていっても、
以下のエラーで証明書の取得が失敗します。
"type": "urn:ietf:params:acme:error:connection", "detail": "Fetching http://ドメイン/.well-known/acme-challenge/WRTRcLy_EhTGt0KgS4Z8JgMZgVt-6z2OB3BDr_bP4FI: Timeout during connect (likely firewall problem)", "status": 400 }
抽象的な質問になってしまいすみませんが、
どのように実行すれば証明書の取得ができるのでしょうか。
このあたりの知識は素人なので、見当違いなことをしているかもしれませんが
その際はご指摘いただけると幸いです。
また、以下に環境等の情報を記載しましたので、
足りない情報等あればそちらも合わせてご指摘ください。
よろしくお願いします。
環境
・環境は以下の通りです。
AWS EC2 WindowsServer2019 ADLDS
・ドメインはAWS上のRoute53で取得しています。
・Let’s Encryptの取得にはwin-acmeというツールを使用しています。
win-acmeのバージョン:2.1.11
回答1件
0
色々とツッコミどころがありますが・・・
まず、win-acmeツールがサポートする証明書はご提示頂いている選択しからIIS向け、DNS向、TLS通信向けと読みとけます。
Active Directory向けはないので、これらを導入した場合、Active Directoryが動作する担保を取る必要があると考えます。
そうでなければ、Microsoftサポート対象外となりますし、最悪ドメインコントローラが破損する可能性があります。
また、Let's Encryptが発行する証明書は短期間での動的更新となりますので、Active Directoryがそのような仕様を許容するかも怪しいところです。
具体的には、以下の設問で何番を選択すればよいかが分かりません。
従って、上記においては、Active Directory向けの証明書が明示されていないので、何番が相応しいかは試行錯誤するしかないです。
※勿論全部NGの可能性もあります。
この「試行錯誤」もActive Directoryにおいては一定期間の運用で明らかになる性質上のものばかりで長い期間の評価が必要になると感じています。
また、何かしらの選択肢を選んで最後まで進めていっても、
以下のエラーで証明書の取得が失敗します。
Let's EncryptはWebサーバ等、グローバルネットワークに公開されているディレクトリに対してアプローチし、証明書の正当性を評価、また動的更新する仕様です。
ご質問者様の環境はActive Directory環境だと思われますので、エラー出力されているディレクトリどころか、サーバ自体もグローバルネットワークに公開(win-acmeツールであれば、ご記載頂いている内容からHTTP、HTTPS、DNS等が対応していると読み取れます。TLSを選べばポート指定もできるかも?)していないためだと思います。
投稿2020/10/08 08:32
総合スコア4309
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/10/08 09:04 編集
2020/10/08 09:07
2020/10/09 06:30 編集
2020/10/09 06:57