Questo argomento descrive le best practice per automatizzare il rinnovo dei certificati per LDAPS.
Panoramica
Se stai rilasciando certificati di durata più breve, ti consigliamo di automatizzare il rinnovo di questi certificati.
Gestire gli errori dell'API
L'Automation deve verificare la presenza di errori sia nella chiamata API di blocco iniziale sia durante il polling dell'operazione a lunga esecuzione restituita. L'aggiornamento può essere considerato riuscito solo se l'operazione a lunga esecuzione è contrassegnata come completata senza errori.
Se UpdateLdapsSettings
restituisce un errore con il codice INVALID_ARGUMENT
, il
messaggio può spiegare il problema relativo al certificato caricato. Questo errore viene generalmente restituito durante la chiamata di blocco iniziale all'API. In questi casi, i nuovi tentativi sono inefficaci e l'automazione dovrebbe inviare un avviso.
Se l'API restituisce qualsiasi altro codice di errore reversibile (come UNAVAILABLE
), l'automazione deve ritentare la chiamata con il backoff appropriato. In genere questi errori vengono restituiti durante il polling dell'operazione a lunga esecuzione restituita dalla chiamata di blocco iniziale a UpdateLdapsSettings
.
Scopri di più su
UpdateLdapsSettings
.
Controllo dello stato LDAPSSettings
in corso...
Dopo aver chiamato UpdateLdapsSettings
, è buona norma verificare che LDAPSSettings
soddisfi le aspettative e che sia in buono stato (ACTIVE
). Puoi chiamare GetLdapsSettings
per confrontare le fingerprint dei certificati nello stato previsto con le fingerprint del certificato di cui è stato eseguito il deployment. Puoi usare strumenti come OpenSSL per calcolare le fingerprint dei nuovi certificati.
Prendi nota di eventuali differenze di visualizzazione tra il metodo utilizzato dall'automazione per calcolare le impronte e il modo in cui Managed Microsoft AD le archivia.
Ad esempio, Microsoft AD gestito archivia un'identificazione personale come singola stringa esadecimale non delimitata: 771B8FD90806E074A7AD49B1624D2761137557D2
. OpenSSL restituisce quanto segue per lo stesso certificato: SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2
.
Scopri di più su LDAPSSettings
e
GetLdapsSettings
.
Creazione di una catena di certificati PFX
Se la tua automazione acquista certificati nei formati PEM o CRT, devi convertirli in PFX e includere l'intera catena di certificati.
Per convertire in PFX e includere l'intera catena, completa i passaggi seguenti utilizzando shell e OpenSSL.
Crea un singolo file PEM che includa tutti i certificati intermedi e il certificato radice.
cat root-ca-cert.pem >> temp.pem echo -e "\n" >> temp.pem cat intermediate-ca-cert.pem >> temp.pem
Crea il file PFX di output.
leaf.key
è la chiave privata.openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \ -certfile temp.pem -passout "EXPORT_PASSWORD"
Mostra le informazioni del file PFX. Dovrebbe essere visualizzata l'intera catena radice-foglia e la chiave privata.
openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"