Questo argomento descrive le best practice per automatizzare il rinnovo dei certificati per LDAPS.
Panoramica
Se emetti certificati con una durata inferiore, ti consigliamo di automatizzare il loro rinnovo.
Gestione degli errori relativi all'API
Automation deve verificare la presenza di errori durante la chiamata API di blocco iniziale nonché durante il polling dell'operazione a lunga esecuzione restituita. L'aggiornamento può essere considerato riuscito solo se l'operazione a lunga esecuzione è contrassegnata come completata senza errori.
Se UpdateLdapsSettings restituisce un errore con il codice INVALID_ARGUMENT, il messaggio di errore può spiegare il problema del certificato caricato. Questo
di solito viene restituito un errore durante la chiamata di blocco iniziale all'API. In questi
casi, i tentativi di nuovo non sono efficaci e l'automazione dovrebbe inviare un avviso.
Se l'API restituisce qualsiasi altro codice di errore recuperabile (ad esempio
UNAVAILABLE), l'automazione deve riprovare a effettuare la chiamata con
il backoff. Questi errori in genere vengono restituiti durante il polling del modello
che viene restituita dalla chiamata di blocco iniziale
UpdateLdapsSettings.
Scopri di più su
UpdateLdapsSettings.
Controllo dello stato di LDAPSSettings in corso...
Dopo aver chiamato il numero UpdateLdapsSettings, è buona norma verificare che
LDAPSSettings soddisfa le aspettative ed è in buono stato (ACTIVE). Puoi
chiama GetLdapsSettings per confrontare le fingerprint dei certificati in
rispetto alle impronte digitali del certificato di cui è stato eseguito il deployment. Puoi utilizzare strumenti come OpenSSL per calcolare le impronte dei nuovi certificati.
Tieni presente eventuali differenze di visualizzazione tra il metodo utilizzato dall'automazione per calcolare le impronte e il modo in cui Managed Microsoft AD le memorizza.
Ad esempio, Microsoft AD gestito memorizza un'impronta come singola stringa esadecimale non delimitata: 771B8FD90806E074A7AD49B1624D2761137557D2. OpenSSL restituisce quanto segue per lo stesso certificato:
SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2.
Scopri di più su LDAPSSettings e
GetLdapsSettings.
Creazione di una catena di certificati PFX
Se l'automazione acquista certificati nei formati PEM o CRT, devi convertirli in PFX e includere l'intera catena di certificati.
Per convertire in PFX e includere l'intera catena, completa i seguenti passaggi utilizzando shell e OpenSSL.
Crea un unico file PEM che includa tutti i certificati intermedi e il certificato radice.
cat root-ca-cert.pem >> temp.pem echo -e "\n" >> temp.pem cat intermediate-ca-cert.pem >> temp.pem
Crea il file PFX di output.
leaf.keyè la chiave privata.openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \ -certfile temp.pem -passout "EXPORT_PASSWORD"Mostra le informazioni del file PFX. Dovresti vedere l'intera catena dalla radice alla foglia e la chiave privata.
openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"