Best Practices für die automatische Zertifikatsverlängerung

In diesem Thema werden die Best Practices zur Automatisierung der Zertifikatsverlängerung für LDAPS beschrieben.

Überblick

Wenn Sie kurzlebige Zertifikate ausstellen, empfehlen wir die automatische Verlängerung dieser Zertifikate.

API-Fehler behandeln

Die Automatisierung sollte sowohl beim ersten blockierenden API-Aufruf als auch beim Abfragen des zurückgegebenen lang andauernden Vorgangs auf Fehler prüfen. Die Aktualisierung kann nur als erfolgreich betrachtet werden, wenn der lang andauernde Vorgang ohne Fehler markiert wird.

Wenn UpdateLdapsSettings einen Fehler mit dem Code INVALID_ARGUMENT zurückgibt, kann in der Fehlermeldung erläutert werden, was mit dem hochgeladenen Zertifikat falsch ist. Dieser Fehler wird normalerweise beim ersten blockierenden Aufruf der API zurückgegeben. In solchen Fällen sind Wiederholungsversuche unwirksam und die Automatisierung sollte eine Benachrichtigung senden.

Wenn die API einen anderen Fehlercode zurückgibt, der wiederholbar ist (z. B. UNAVAILABLE), sollte die Automatisierung den Aufruf mit dem entsprechenden Backoff wiederholen. Diese Fehler werden normalerweise zurückgegeben, beim Abfragen des Vorgangs mit langer Ausführungszeit, der vom ersten blockierenden Aufruf von UpdateLdapsSettings zurückgegeben wird.

Mehr über UpdateLdapsSettings erfahren.

Status LDAPSSettings prüfen

Nach dem Aufruf von UpdateLdapsSettings sollten Sie prüfen, ob LDAPSSettings die Erwartungen erfüllt und in einem guten Zustand ist (ACTIVE). Sie können GetLdapsSettings aufrufen, um die Fingerabdrücke der Zertifikate im gewünschten Zustand mit den Fingerabdrücken des bereitgestellten Zertifikats zu vergleichen. Mit Tools wie OpenSSL können Sie die Fingerabdrücke Ihrer neuen Zertifikate berechnen.

Beachten Sie alle Anzeigeunterschiede zwischen der Methode, die die Automatisierung zum Berechnen von Fingerabdrücken verwendet, und wie sie von Managed Microsoft AD gespeichert werden. Managed Microsoft AD speichert beispielsweise einen Fingerabdruck als einzelnen, nicht getrennten Hexadezimalstring: 771B8FD90806E074A7AD49B1624D2761137557D2. OpenSSL gibt für dasselbe Zertifikat Folgendes zurück: SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2.

Weitere Informationen zu LDAPSSettings und GetLdapsSettings.

PFX-Zertifikatskette erstellen

Wenn Ihre Automatisierung Zertifikate im PEM- oder CRT-Format abruft, müssen Sie diese in PFX konvertieren und die gesamte Zertifikatskette inkludieren.

Führen Sie die folgenden Schritte mit Shell und OpenSSL aus, um zu PFX zu konvertieren und die gesamte Kette einzubeziehen.

1. Erstellen Sie eine einzelne PEM-Datei, die alle Zwischenzertifikate sowie das Root-Zertifikat enthält.

   cat root-ca-cert.pem >> temp.pem
   echo -e "\n" >> temp.pem
   cat intermediate-ca-cert.pem >> temp.pem
   

2. Erstellen Sie die PFX-Ausgabedatei. leaf.key ist der private Schlüssel.

   openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
       -certfile temp.pem -passout "EXPORT_PASSWORD"
   

3. Informationen zur PFX-Datei anzeigen. Es sollte die gesamte Stamm-zu-Blatt-Kette und der private Schlüssel angezeigt werden.

   openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"