Best practice per l'automazione del rinnovo dei certificati

Questo argomento descrive le best practice per automatizzare il rinnovo dei certificati per LDAPS.

Panoramica

Se stai rilasciando certificati di durata più breve, ti consigliamo di automatizzare il rinnovo di questi certificati.

Gestire gli errori dell'API

L'Automation deve verificare la presenza di errori sia nella chiamata API di blocco iniziale sia durante il polling dell'operazione a lunga esecuzione restituita. L'aggiornamento può essere considerato riuscito solo se l'operazione a lunga esecuzione è contrassegnata come completata senza errori.

Se UpdateLdapsSettings restituisce un errore con il codice INVALID_ARGUMENT, il messaggio può spiegare il problema relativo al certificato caricato. Questo errore viene generalmente restituito durante la chiamata di blocco iniziale all'API. In questi casi, i nuovi tentativi sono inefficaci e l'automazione dovrebbe inviare un avviso.

Se l'API restituisce qualsiasi altro codice di errore reversibile (come UNAVAILABLE), l'automazione deve ritentare la chiamata con il backoff appropriato. In genere questi errori vengono restituiti durante il polling dell'operazione a lunga esecuzione restituita dalla chiamata di blocco iniziale a UpdateLdapsSettings.

Scopri di più su UpdateLdapsSettings.

Controllo dello stato LDAPSSettings in corso...

Dopo aver chiamato UpdateLdapsSettings, è buona norma verificare che LDAPSSettings soddisfi le aspettative e che sia in buono stato (ACTIVE). Puoi chiamare GetLdapsSettings per confrontare le fingerprint dei certificati nello stato previsto con le fingerprint del certificato di cui è stato eseguito il deployment. Puoi usare strumenti come OpenSSL per calcolare le fingerprint dei nuovi certificati.

Prendi nota di eventuali differenze di visualizzazione tra il metodo utilizzato dall'automazione per calcolare le impronte e il modo in cui Managed Microsoft AD le archivia. Ad esempio, Microsoft AD gestito archivia un'identificazione personale come singola stringa esadecimale non delimitata: 771B8FD90806E074A7AD49B1624D2761137557D2. OpenSSL restituisce quanto segue per lo stesso certificato: SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2.

Scopri di più su LDAPSSettings e GetLdapsSettings.

Creazione di una catena di certificati PFX

Se la tua automazione acquista certificati nei formati PEM o CRT, devi convertirli in PFX e includere l'intera catena di certificati.

Per convertire in PFX e includere l'intera catena, completa i passaggi seguenti utilizzando shell e OpenSSL.

  1. Crea un singolo file PEM che includa tutti i certificati intermedi e il certificato radice.

    cat root-ca-cert.pem >> temp.pem
echo -e "\n" >> temp.pem
cat intermediate-ca-cert.pem >> temp.pem

  2. Crea il file PFX di output. leaf.key è la chiave privata.

    openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
    -certfile temp.pem -passout "EXPORT_PASSWORD"

  3. Mostra le informazioni del file PFX. Dovrebbe essere visualizzata l'intera catena radice-foglia e la chiave privata.

    openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"