Best practice per l'automazione del rinnovo dei certificati

Questo argomento descrive le best practice per l'automazione del rinnovo dei certificati per LDAPS.

Panoramica

Se emetti certificati con una durata inferiore, ti consigliamo di automatizzare il loro rinnovo.

Gestione degli errori relativi all'API

L'Automation deve verificare la presenza di errori sia nella chiamata all'API di blocco iniziale sia durante il polling dell'operazione a lunga esecuzione restituita. L'aggiornamento può essere considerato riuscito solo se l'operazione a lunga esecuzione è contrassegnata come completata senza errori.

Se UpdateLdapsSettings restituisce un errore con il codice INVALID_ARGUMENT, il messaggio di errore può spiegare il problema del certificato caricato. Questo errore viene in genere restituito durante la chiamata di blocco iniziale all'API. In questi casi, i tentativi di nuovo non sono efficaci e l'automazione dovrebbe inviare un avviso.

Se l'API restituisce un altro codice di errore recuperabile (ad esempioUNAVAILABLE), l'automazione deve riprovare a effettuare la chiamata con il backoff appropriato. Questi errori vengono in genere restituiti durante il polling dell'operazione di lunga durata restituita dalla chiamata di blocco iniziale a UpdateLdapsSettings.

Scopri di più su UpdateLdapsSettings.

Controllo dello stato LDAPSSettings

Dopo aver chiamato UpdateLdapsSettings, è buona prassi verificare che LDAPSSettings soddisfi le aspettative e sia in uno stato buono (ACTIVE). Puoi chiamare GetLdapsSettings per confrontare le impronte dei certificati nello stato previsto con le impronte dei certificati di cui è stato eseguito il deployment. Puoi utilizzare strumenti come OpenSSL per calcolare le impronte dei nuovi certificati.

Tieni presente eventuali differenze di visualizzazione tra il metodo utilizzato dall'automazione per calcolare le impronte e il modo in cui Managed Microsoft AD le memorizza. Ad esempio, Microsoft AD gestito memorizza un'impronta come una singola stringa esadecimale non delimitata: 771B8FD90806E074A7AD49B1624D2761137557D2. OpenSSL restituisce quanto segue per lo stesso certificato: SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2.

Scopri di più su LDAPSSettings e GetLdapsSettings.

Creazione di una catena di certificati PFX

Se l'automazione procura i certificati nei formati PEM o CRT, devi convertirli in PFX e includere l'intera catena di certificati.

Per convertire in PFX e includere l'intera catena, completa i seguenti passaggi utilizzando shell e OpenSSL.

  1. Crea un unico file PEM che includa tutti i certificati intermedi e il certificato radice.

    cat root-ca-cert.pem >> temp.pem
    echo -e "\n" >> temp.pem
    cat intermediate-ca-cert.pem >> temp.pem
    
  2. Crea il file PFX di output. leaf.key è la chiave privata.

    openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
        -certfile temp.pem -passout "EXPORT_PASSWORD"
    
  3. Mostra le informazioni del file PFX. Dovresti vedere l'intera catena dalla radice alla foglia e la chiave privata.

    openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"