このトピックでは、LDAPS の証明書更新を自動化するためのベスト プラクティスについて説明します。
概要
有効期間の短い証明書を発行する場合は、これらの証明書の更新を自動化することをおすすめします。
API エラーへの対応
自動化では、最初のブロッキング API 呼び出しと、返された長時間実行オペレーションをポーリングする際に、エラーをチェックする必要があります。長時間実行オペレーションがエラーなしで完了とマークされている場合にのみ、更新は成功したとみなされます。
UpdateLdapsSettings がコード INVALID_ARGUMENT とともにエラーを返した場合、エラー メッセージからアップロードされた証明書の問題点を理解できます。このエラーが返されるのは、通常、API の最初のブロックを呼び出しているときです。このような場合、再試行は無効になり、自動化がアラートを送信します。
再試行可能な他のエラーコード(UNAVAILABLE など)が API から返された場合、自動化は適切なバックオフを使用して呼び出しを再試行する必要があります。通常、これらのエラーは、UpdateLdapsSettings への最初のブロック呼び出しによって返される長時間実行オペレーションをポーリングしているときに返されます。
詳細については、UpdateLdapsSettings についてをご覧ください。
LDAPSSettings 状態の確認
UpdateLdapsSettings を呼び出したら、LDAPSSettings が期待どおりで、正常な状態(ACTIVE)であることを確認してください。GetLdapsSettings を呼び出して、目的の証明書のフィンガープリントとデプロイ済みの証明書のフィンガープリントを比較できます。OpenSSL などのツールを使用して、新しい証明書のフィンガープリントを計算できます。
自動化によってフィンガープリントを計算する方法と、Managed Microsoft AD によるフィンガープリントの保存方法の違いに注意してください。たとえばマネージド Microsoft AD では、サムプリントが単一の区切り文字されていない 16 進数の文字列 771B8FD90806E074A7AD49B1624D2761137557D2 として保存されます。OpenSSL は、同じ証明書に対して「SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2」を返します。
LDAPSSettings と GetLdapsSettings の詳細をご覧ください。
PFX 証明書チェーンの構築
自動化の手順によって PEM 形式または CRT 形式の証明書が作成される場合は、それらを PFX に変換して、証明書チェーン全体を含める必要があります。
PFX に変換してチェーン全体を含めるには、シェルと OpenSSL を使用して次の手順を行います。
すべての中間証明書とルート証明書を含む単一の PEM ファイルを作成します。
cat root-ca-cert.pem >> temp.pem echo -e "\n" >> temp.pem cat intermediate-ca-cert.pem >> temp.pem
出力 PFX ファイルを構築します。
leaf.keyは秘密鍵です。openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \ -certfile temp.pem -passout "EXPORT_PASSWORD"PFX ファイルの情報を表示します。これにより、リーフチェーンまでの全ルートと秘密鍵が表示されます。
openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"