Bonnes pratiques pour automatiser le renouvellement des certificats

Cet article décrit les bonnes pratiques pour automatiser le renouvellement des certificats pour LDAPS.

Présentation

Si vous émettez des certificats de courte durée, nous vous recommandons d'automatiser leur renouvellement.

Gérer les erreurs d'API

L'automatisation doit rechercher les erreurs à la fois lors de l'appel d'API de blocage initial et lors de l'interrogation de l'opération de longue durée renvoyée. La mise à jour ne peut être considérée comme réussie que si l'opération de longue durée est marquée comme terminée sans erreur.

Si UpdateLdapsSettings renvoie une erreur avec le code INVALID_ARGUMENT, le message d'erreur peut expliquer le problème rencontré avec le certificat importé. Cette erreur est généralement renvoyée lors de l'appel de blocage initial à l'API. Dans ce cas, les tentatives sont inefficaces et l'automatisation doit envoyer une alerte.

Si l'API renvoie un autre code d'erreur pouvant faire l'objet d'une nouvelle tentative (tel que UNAVAILABLE), l'automatisation doit relancer l'appel avec l'intervalle approprié. Ces erreurs sont généralement renvoyées lors de l'interrogation de l'opération de longue durée renvoyée par l'appel de blocage initial à UpdateLdapsSettings.

Apprenez-en plus sur UpdateLdapsSettings.

Vérifier l'état de LDAPSSettings

Après avoir appelé UpdateLdapsSettings, il est recommandé de vérifier que LDAPSSettings répond aux attentes et est en bon état (ACTIVE). Vous pouvez appeler GetLdapsSettings pour comparer les empreintes des certificats dans l'état souhaité avec les empreintes des certificats déployés. Des outils tels que OpenSSL vous permettent de calculer les empreintes de vos nouveaux certificats.

Prenez note des différences d'affichage entre la méthode utilisée par l'automatisation pour calculer les empreintes numériques et la manière dont le service Microsoft AD géré les stocke. Par exemple, le service Microsoft AD géré stocke une empreinte sous la forme d'une chaîne hexadécimale unique non délimitée : 771B8FD90806E074A7AD49B1624D2761137557D2. OpenSSL renvoie les éléments suivants pour le même certificat : SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2.

En savoir plus sur LDAPSSettings et GetLdapsSettings.

Créer une chaîne de certificats PFX

Si votre automatisation obtient les certificats aux formats PEM ou CRT, vous devez les convertir au format PFX et inclure la chaîne de certificats complète.

Pour effectuer la conversion en PFX et inclure la chaîne entière, procédez comme suit à l'aide de shell et d'OpenSSL.

  1. Créez un seul fichier PEM comprenant tous les certificats intermédiaires ainsi que le certificat racine.

    cat root-ca-cert.pem >> temp.pem
echo -e "\n" >> temp.pem
cat intermediate-ca-cert.pem >> temp.pem

  2. Créez le fichier PFX de sortie. leaf.key est la clé privée.

    openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
    -certfile temp.pem -passout "EXPORT_PASSWORD"

  3. Afficher les informations du fichier PFX Cette opération permet d'afficher l'intégralité de la chaîne racine et de la chaîne feuille, ainsi que la clé privée.

    openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"