Neste tópico, descrevemos as práticas recomendadas para automatizar a renovação de certificados para LDAPs.
Visão geral
Se você estiver emitindo certificados de curta duração, recomendamos que automatize a renovação desses certificados.
Como lidar com erros de API
A automação precisa verificar se há erros na chamada de API de bloqueio inicial e ao pesquisar a operação de longa duração retornada. A atualização só poderá ser considerada bem-sucedida se a operação de longa duração for marcada como "Concluída sem erros".
Se UpdateLdapsSettings retornar um erro com o código INVALID_ARGUMENT, a
mensagem de erro poderá explicar o que está errado com o certificado enviado. Esse
erro normalmente é retornado durante a chamada de bloqueio inicial para a API. Nesses
casos, as novas tentativas são ineficazes e a automação precisa enviar um alerta.
Se a API retornar qualquer outro código de erro que possa ser recuperado (como
UNAVAILABLE), a automação precisará repetir a chamada com a espera
apropriada. Esses erros geralmente são retornados ao pesquisar a operação de longa
duração retornada pela chamada de bloqueio inicial para
UpdateLdapsSettings.
Saiba mais sobre UpdateLdapsSettings.
Como verificar o estado LDAPSSettings
Após chamar UpdateLdapsSettings, é recomendado verificar se
LDAPSSettings atende às expectativas e está em bom estado (ACTIVE).
Chame GetLdapsSettings para comparar as impressões digitais de certificados no
estado pretendido com as impressões digitais de certificado implantadas. Use ferramentas
como o OpenSSL para calcular as impressões digitais dos novos certificados.
Observe as diferenças de exibição entre o método que a automação usa
para calcular as impressões digitais e como elas são armazenadas no Microsoft AD gerenciado.
Por exemplo, o Microsoft AD gerenciado armazena uma impressão digital como uma única string
hexadecimal não delimitada: 771B8FD90806E074A7AD49B1624D2761137557D2. O OpenSSL retorna
o seguinte para o mesmo certificado: SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2.
Saiba mais sobre LDAPSSettings e
GetLdapsSettings.
Como criar uma cadeia de certificados PFX
Se a automação adquirir certificados nos formatos PEM ou CRT, converta-os em PFX e inclua toda a cadeia de certificados.
Para converter para PFX e incluir toda a cadeia, conclua as etapas a seguir usando shell e OpenSSL.
Crie um único arquivo PEM que inclua todos os certificados intermediários, bem como o certificado raiz.
cat root-ca-cert.pem >> temp.pem echo -e "\n" >> temp.pem cat intermediate-ca-cert.pem >> temp.pem
Crie o arquivo PFX de saída.
leaf.keyé a chave privada.openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \ -certfile temp.pem -passout "EXPORT_PASSWORD"Mostre informações do arquivo PFX. Isso mostrará toda a raiz da cadeia de folhas e a chave privada.
openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"