Práticas recomendadas para automatizar a renovação de certificados

Neste tópico, descrevemos as práticas recomendadas para automatizar a renovação de certificados para LDAPs.

Informações gerais

Se você estiver emitindo certificados de curta duração, recomendamos que automatize a renovação desses certificados.

Como lidar com erros de API

A automação precisa verificar se há erros na chamada de API de bloqueio inicial e ao pesquisar a operação de longa duração retornada. A atualização só poderá ser considerada bem-sucedida se a operação de longa duração for marcada como "Concluída sem erros".

Se UpdateLdapsSettings retornar um erro com o código INVALID_ARGUMENT, a mensagem de erro poderá explicar o que está errado com o certificado enviado. Esse erro normalmente é retornado durante a chamada de bloqueio inicial para a API. Nesses casos, as novas tentativas são ineficazes e a automação precisa enviar um alerta.

Se a API retornar qualquer outro código de erro que possa ser recuperado (como UNAVAILABLE), a automação precisará repetir a chamada com a espera apropriada. Esses erros geralmente são retornados ao pesquisar a operação de longa duração retornada pela chamada de bloqueio inicial para UpdateLdapsSettings.

Saiba mais sobre UpdateLdapsSettings.

Como verificar o estado LDAPSSettings

Após chamar UpdateLdapsSettings, é recomendado verificar se LDAPSSettings atende às expectativas e está em bom estado (ACTIVE). Chame GetLdapsSettings para comparar as impressões digitais de certificados no estado pretendido com as impressões digitais de certificado implantadas. Use ferramentas como o OpenSSL para calcular as impressões digitais dos novos certificados.

Observe as diferenças de exibição entre o método que a automação usa para calcular as impressões digitais e como elas são armazenadas no Microsoft AD gerenciado. Por exemplo, o Microsoft AD gerenciado armazena uma impressão digital como uma única string hexadecimal não delimitada: 771B8FD90806E074A7AD49B1624D2761137557D2. O OpenSSL retorna o seguinte para o mesmo certificado: SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2.

Saiba mais sobre LDAPSSettings e GetLdapsSettings.

Como criar uma cadeia de certificados PFX

Se a automação adquirir certificados nos formatos PEM ou CRT, converta-os em PFX e inclua toda a cadeia de certificados.

Para converter para PFX e incluir toda a cadeia, conclua as etapas a seguir usando shell e OpenSSL.

1. Crie um único arquivo PEM que inclua todos os certificados intermediários, bem como o certificado raiz.

   cat root-ca-cert.pem >> temp.pem
   echo -e "\n" >> temp.pem
   cat intermediate-ca-cert.pem >> temp.pem
   

2. Crie o arquivo PFX de saída. leaf.key é a chave privada.

   openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
       -certfile temp.pem -passout "EXPORT_PASSWORD"
   

3. Mostre informações do arquivo PFX. Isso mostrará toda a raiz da cadeia de folhas e a chave privada.

   openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"