En este tema, se describen las prácticas recomendadas para automatizar la renovación de certificados de LDAP.
Descripción general
Si emites certificados de corta duración, te recomendamos que automatices la renovación de estos certificados.
Soluciona errores de la API
La automatización debe comprobar si hay errores en la llamada a la API de bloqueo inicial y cuando se sondea la operación de larga duración que se muestra. La actualización solo se puede considerar exitosa si la operación de larga duración se marca como completada sin error.
Si UpdateLdapsSettings muestra un error con el código INVALID_ARGUMENT, el mensaje de error puede explicar qué sucede con el certificado que se subió. Por lo general, este error se muestra durante la llamada de bloqueo inicial a la API. En esos casos, los reintentos son ineficaces, y la automatización debe enviar una alerta.
Si la API muestra cualquier otro código de error que se pueda reintentar (como UNAVAILABLE), la automatización debe reintentar la llamada con la retirada adecuada. Por lo general, estos errores se muestran cuando se sondea la operación de larga duración que muestra la llamada de bloqueo inicial a UpdateLdapsSettings.
Obtén más información sobre UpdateLdapsSettings.
Verifica el estado LDAPSSettings
Después de llamar a UpdateLdapsSettings, se recomienda verificar que LDAPSSettings cumpla con las expectativas y que se encuentre en un buen estado (ACTIVE). Puedes llamar a GetLdapsSettings para comparar las huellas digitales de los certificados en el estado previsto con las huellas digitales del certificado implementado. Puedes usar herramientas como OpenSSL para calcular las huellas digitales de tus certificados nuevos.
Toma nota de las diferencias de visualización entre el método que usa la automatización para calcular las huellas digitales y el modo en que Microsoft AD administrado las almacena.
Por ejemplo, Microsoft AD administrado almacena una huella digital como una sola string hexadecimal sin delimitar: 771B8FD90806E074A7AD49B1624D2761137557D2. OpenSSL muestra lo siguiente para el mismo certificado: SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2.
Más información sobre LDAPSSettings y GetLdapsSettings.
Compila una cadena de certificados de PFX
Si la automatización adquiere certificados en los formatos PEM o CRT, debes convertirlos a PFX y, luego, incluir toda la cadena de certificados.
Para convertir a PFX e incluir toda la cadena, completa los siguientes pasos con shell y OpenSSL.
Crea un solo archivo PEM que incluya todos los certificados intermedios y el certificado raíz.
cat root-ca-cert.pem >> temp.pem echo -e "\n" >> temp.pem cat intermediate-ca-cert.pem >> temp.pem
Compila el archivo PFX de salida.
leaf.keyes la clave privada.openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \ -certfile temp.pem -passout "EXPORT_PASSWORD"Mostrar información del archivo PFX. Esto debería mostrar toda la cadena raíz a la hoja y la clave privada.
openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"