Praktik terbaik untuk mengotomatiskan perpanjangan sertifikat

Topik ini menjelaskan praktik terbaik untuk mengotomatiskan perpanjangan sertifikat untuk LDAP.

Ringkasan

Jika Anda menerbitkan sertifikat yang berumur lebih pendek, sebaiknya otomatiskan perpanjangan sertifikat ini.

Menangani error API

Otomatisasi harus memeriksa error pada panggilan API pemblokiran awal serta saat melakukan polling pada operasi yang berjalan lama yang ditampilkan. Update hanya dapat dianggap berhasil jika operasi yang berjalan lama ditandai sebagai selesai tanpa error.

Jika UpdateLdapsSettings menampilkan error dengan kode INVALID_ARGUMENT, pesan error dapat menjelaskan masalah yang terjadi pada sertifikat yang diupload. Error ini biasanya ditampilkan selama panggilan pemblokiran awal ke API. Dalam kasus tersebut, percobaan ulang tidak akan efektif dan otomatisasi akan mengirim pemberitahuan.

Jika API menampilkan kode error lain yang dapat dicoba ulang (seperti UNAVAILABLE), otomatisasi harus mencoba lagi panggilan dengan backoff yang sesuai. Error ini biasanya ditampilkan saat melakukan polling pada operasi yang berjalan lama dan ditampilkan oleh panggilan pemblokiran awal ke UpdateLdapsSettings.

Pelajari UpdateLdapsSettings lebih lanjut.

Memeriksa status LDAPSSettings

Setelah memanggil UpdateLdapsSettings, sebaiknya periksa apakah LDAPSSettings memenuhi ekspektasi dan dalam kondisi baik (ACTIVE). Anda dapat memanggil GetLdapsSettings untuk membandingkan sidik jari sertifikat dalam status yang diinginkan dengan sidik jari sertifikat yang di-deploy. Anda dapat menggunakan alat seperti OpenSSL untuk menghitung sidik jari sertifikat baru Anda.

Perhatikan perbedaan tampilan antara metode yang digunakan otomatisasi untuk menghitung sidik jari dengan cara Microsoft AD Terkelola menyimpannya. Misalnya, Microsoft AD Terkelola menyimpan thumbprint sebagai string heksadesimal tunggal yang tidak dipisahkan: 771B8FD90806E074A7AD49B1624D2761137557D2. OpenSSL menampilkan hal berikut untuk sertifikat yang sama: SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2.

Pelajari LDAPSSettings dan GetLdapsSettings lebih lanjut.

Membuat rantai sertifikat PFX

Jika otomatisasi Anda mendapatkan sertifikat dalam format PEM atau CRT, Anda harus mengonversinya menjadi PFX dan menyertakan seluruh rantai sertifikat.

Untuk mengonversi ke PFX dan menyertakan seluruh rantai, selesaikan langkah-langkah berikut menggunakan shell dan OpenSSL.

  1. Buat satu file PEM yang menyertakan semua intermediate certificate serta root certificate.

    cat root-ca-cert.pem >> temp.pem
echo -e "\n" >> temp.pem
cat intermediate-ca-cert.pem >> temp.pem

  2. Buat file PFX output. leaf.key adalah kunci pribadi.

    openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
    -certfile temp.pem -passout "EXPORT_PASSWORD"

  3. Menampilkan info file PFX. Tindakan ini akan menampilkan seluruh root ke rantai leaf dan kunci pribadi.

    openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"