Práticas recomendadas para automatizar a renovação de certificados

Este tópico descreve as práticas recomendadas para automatizar a renovação de certificados para LDAPS.

Vista geral

Se estiver a emitir certificados com uma validade mais curta, recomendamos que automatize a renovação destes certificados.

Como lidar com erros da API

A automatização deve verificar a existência de erros na chamada da API de bloqueio inicial, bem como ao sondar a operação de execução prolongada devolvida. A atualização só pode ser considerada bem-sucedida se a operação de longa duração for marcada como concluída sem erro.

Se UpdateLdapsSettings devolver um erro com o código INVALID_ARGUMENT, a mensagem de erro pode explicar o que está errado com o certificado carregado. Este erro é normalmente devolvido durante a chamada de bloqueio inicial à API. Nestes casos, as novas tentativas são ineficazes e a automatização deve enviar um alerta.

Se a API devolver qualquer outro código de erro que seja repetível (como UNAVAILABLE), a automatização deve repetir a chamada com o recuo adequado. Normalmente, estes erros são devolvidos quando se sondam as operações de longa duração devolvidas pela chamada de bloqueio inicial para UpdateLdapsSettings.

Saiba mais sobre UpdateLdapsSettings.

A verificar o estado do LDAPSSettings

Depois de chamar UpdateLdapsSettings, é uma boa prática verificar se LDAPSSettings cumpre as expetativas e está em bom estado (ACTIVE). Pode chamar GetLdapsSettings para comparar as impressões digitais dos certificados no estado pretendido com as impressões digitais dos certificados implementados. Pode usar ferramentas como o OpenSSL para calcular as impressões digitais dos seus novos certificados.

Tenha em atenção as diferenças de apresentação entre o método que a automatização usa para calcular as impressões digitais e a forma como o Microsoft AD gerido as armazena. Por exemplo, o Microsoft AD gerido armazena um thumbprint como uma única string hexadecimal sem delimitadores: 771B8FD90806E074A7AD49B1624D2761137557D2. O OpenSSL devolve o seguinte para o mesmo certificado: SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2.

Saiba mais sobre LDAPSSettings e GetLdapsSettings.

Criar uma cadeia de certificados PFX

Se a sua automatização adquirir certificados nos formatos PEM ou CRT, tem de os converter para PFX e incluir toda a cadeia de certificados.

Para converter para PFX e incluir toda a cadeia, conclua os seguintes passos usando o shell e o OpenSSL.

1. Crie um único ficheiro PEM que inclua todos os certificados intermédios, bem como o certificado de raiz.

   cat root-ca-cert.pem >> temp.pem
   echo -e "\n" >> temp.pem
   cat intermediate-ca-cert.pem >> temp.pem
   

2. Crie o ficheiro PFX de saída. leaf.key é a chave privada.

   openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
       -certfile temp.pem -passout "EXPORT_PASSWORD"
   

3. Mostrar informações do ficheiro PFX. Isto deve mostrar toda a cadeia raiz para folha e a chave privada.

   openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"