証明書の更新を自動化

このトピックでは、LDAPS の証明書更新を自動化するためのベスト プラクティスについて説明します。

概要

有効期間が短い証明書を発行する場合は、その証明書の更新を自動化することをおすすめします。

API エラーの処理

自動化では、最初のブロッキング API 呼び出しと、返された長時間実行オペレーションをポーリングするときの両方のエラーをチェックします。長時間実行オペレーションがエラーなしで完了とマークされている場合にのみ、更新は成功とみなされます。

UpdateLdapsSettings がコード INVALID_ARGUMENT を含むエラーを返した場合、エラー メッセージから、アップロードされた証明書の問題点を説明することができます。通常、API の最初のブロック呼び出しで返されます。このような場合、再試行は効果的ではなく、自動化によってアラートが送信されます。

再試行可能な他のエラーコード(UNAVAILABLE など)が API から返された場合、自動化では適切なバックオフを使用して呼び出しを再試行する必要があります。通常、これらのエラーは、UpdateLdapsSettings への最初のブロック呼び出しによって返される長時間実行オペレーションをポーリングするときに返されます。

詳細については、UpdateLdapsSettings についてをご覧ください。

LDAPSSettings 状態を確認する

UpdateLdapsSettings を呼び出した後、LDAPSSettings が期待どおり正常な状態(ACTIVE)かどうかを確認することをおすすめします。GetLdapsSettings を呼び出して、意図された状態の証明書のフィンガープリントとデプロイされた証明書のフィンガープリントを比較できます。OpenSSL などのツールを使用して、新しい証明書のフィンガープリントを計算できます。

自動化によりフィンガープリントを計算する方法と、Managed Microsoft AD がフィンガープリントを保存する方法において、表示の違いに注意してください。たとえば Managed Microsoft AD では、サムプリントが単一の区切り文字されていない 16 進文字列 771B8FD90806E074A7AD49B1624D2761137557D2 として保存されます。同じ証明書の場合、OpenSSL は SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2 を返します。

LDAPSSettingsGetLdapsSettings の詳細をご覧ください。

PFX 証明書チェーンを構築する

自動化で PEM 形式または CRT 形式の証明書が作成される場合は、それらを PFX に変換して、証明書チェーン全体を含める必要があります。

PFX に変換してチェーン全体を含めるには、シェルと OpenSSL を使用して次の操作を行います。

  1. すべての中間証明書とルート証明書を含む単一の PEM ファイルを作成します。

    cat root-ca-cert.pem >> temp.pem
    echo -e "\n" >> temp.pem
    cat intermediate-ca-cert.pem >> temp.pem
    
  2. 出力の PFX ファイルを構築します。leaf.key は秘密鍵です。

    openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
        -certfile temp.pem -passout "EXPORT_PASSWORD"
    
  3. PFX ファイルの情報を表示します。ルートからリーフチェーン全体と秘密鍵が表示されます。

    openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"