Praktik terbaik untuk mengotomatiskan perpanjangan sertifikat

Topik ini menjelaskan praktik terbaik untuk mengotomatiskan perpanjangan sertifikat untuk LDAPS.

Ringkasan

Jika Anda menerbitkan sertifikat dengan masa berlaku yang lebih singkat, sebaiknya otomatiskan perpanjangan sertifikat ini.

Menangani error API

Otomatisasi harus memeriksa error pada panggilan API pemblokiran awal serta saat melakukan polling operasi yang berjalan lama yang ditampilkan. Update hanya dapat dianggap berhasil jika operasi yang berjalan lama ditandai sebagai selesai tanpa error.

Jika UpdateLdapsSettings menampilkan error dengan kode INVALID_ARGUMENT, pesan error dapat menjelaskan masalah pada sertifikat yang diupload. Error ini biasanya ditampilkan selama panggilan pemblokiran awal ke API. Dalam kasus tersebut, percobaan ulang tidak efektif dan otomatisasi akan mengirim pemberitahuan.

Jika API menampilkan kode error lain yang dapat dicoba ulang (seperti UNAVAILABLE), otomatisasi harus mencoba ulang panggilan dengan backoff yang sesuai. Error ini biasanya ditampilkan saat melakukan polling operasi berjalan lama yang ditampilkan oleh panggilan pemblokiran awal ke UpdateLdapsSettings.

Pelajari UpdateLdapsSettings lebih lanjut.

Memeriksa status LDAPSSettings

Setelah memanggil UpdateLdapsSettings, sebaiknya periksa apakah LDAPSSettings memenuhi ekspektasi dan dalam status yang baik (ACTIVE). Anda dapat memanggil GetLdapsSettings untuk membandingkan sidik jari sertifikat dalam status yang diinginkan dengan sidik jari sertifikat yang di-deploy. Anda dapat menggunakan alat seperti OpenSSL untuk menghitung sidik jari sertifikat baru.

Perhatikan perbedaan tampilan antara metode yang digunakan otomatisasi untuk menghitung sidik jari dengan cara Managed Microsoft AD menyimpannya. Misalnya, Microsoft AD Terkelola menyimpan sidik jari sebagai satu string heksadesimal tanpa pembatas: 771B8FD90806E074A7AD49B1624D2761137557D2. OpenSSL menampilkan hal berikut untuk sertifikat yang sama: SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2.

Pelajari lebih lanjut LDAPSSettings dan GetLdapsSettings.

Membuat rantai sertifikat PFX

Jika otomatisasi Anda mendapatkan sertifikat dalam format PEM atau CRT, Anda harus mengonversinya ke PFX dan menyertakan seluruh rantai sertifikat.

Untuk mengonversi ke PFX dan menyertakan seluruh rantai, selesaikan langkah-langkah berikut menggunakan shell dan OpenSSL.

  1. Buat satu file PEM yang menyertakan semua sertifikat perantara serta root certificate.

    cat root-ca-cert.pem >> temp.pem
echo -e "\n" >> temp.pem
cat intermediate-ca-cert.pem >> temp.pem

  2. Build file PFX output. leaf.key adalah kunci pribadi.

    openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
    -certfile temp.pem -passout "EXPORT_PASSWORD"

  3. Menampilkan info file PFX. Tindakan ini akan menampilkan seluruh rantai root ke leaf dan kunci pribadi.

    openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"