証明書の更新を自動化するためのベスト プラクティス

このトピックでは、LDAPS の証明書更新を自動化するためのベスト プラクティスについて説明します。

概要

有効期間の短い証明書を発行する場合は、これらの証明書の更新を自動化することをおすすめします。

API エラーへの対応

自動化では、最初のブロッキング API 呼び出しと、返された長時間実行オペレーションをポーリングする際に、エラーをチェックする必要があります。更新は、長時間実行オペレーションがエラーなしで完了としてマークされている場合にのみ、成功と見なされます。

UpdateLdapsSettings がコード INVALID_ARGUMENT とともにエラーを返した場合、エラー メッセージからアップロードされた証明書の問題点を理解できます。このエラーが返されるのは、通常、API の最初のブロックを呼び出しているときです。このような場合、再試行は無効になり、自動化がアラートを送信します。

再試行可能な他のエラーコード（UNAVAILABLE など）が API から返された場合、自動化は適切なバックオフを使用して呼び出しを再試行する必要があります。通常、これらのエラーは、UpdateLdapsSettings への最初のブロック呼び出しによって返される長時間実行オペレーションをポーリングしているときに返されます。

詳細については、UpdateLdapsSettings についてをご覧ください。

LDAPSSettings の状態を確認する

UpdateLdapsSettings を呼び出したら、LDAPSSettings が期待どおりで、正常な状態（ACTIVE）であることを確認してください。GetLdapsSettings を呼び出して、目的の証明書のフィンガープリントとデプロイ済みの証明書のフィンガープリントを比較できます。OpenSSL などのツールを使用して、新しい証明書のフィンガープリントを計算できます。

自動化によってフィンガープリントを計算する方法と、Managed Microsoft AD によるフィンガープリントの保存方法の違いに注意してください。たとえばマネージド Microsoft AD では、サムプリントが単一の区切り文字されていない 16 進数の文字列 771B8FD90806E074A7AD49B1624D2761137557D2 として保存されます。OpenSSL は、同じ証明書に対して SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2 を返します。

LDAPSSettings と GetLdapsSettings の詳細をご覧ください。

PFX 証明書チェーンの構築

自動化の手順によって PEM 形式または CRT 形式の証明書が作成される場合は、それらを PFX に変換して、証明書チェーン全体を含める必要があります。

PFX に変換してチェーン全体を含めるには、シェルと OpenSSL を使用して次の手順を完了します。

1. すべての中間証明書とルート証明書を含む単一の PEM ファイルを作成します。

   cat root-ca-cert.pem >> temp.pem
   echo -e "\n" >> temp.pem
   cat intermediate-ca-cert.pem >> temp.pem
   

2. 出力 PFX ファイルを構築します。leaf.key は秘密鍵です。

   openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
       -certfile temp.pem -passout "EXPORT_PASSWORD"
   

3. PFX ファイルの情報を表示します。これにより、リーフチェーンまでの全ルートと秘密鍵が表示されます。

   openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"