Como automatizar a renovação de certificados

Este tópico descreve as práticas recomendadas para automatizar a renovação de certificado para LDAPS.

Visão geral

Se você estiver emitindo certificados de curta duração, recomendamos automatizar a renovação deles.

Como lidar com erros da API

A automação deve verificar se há erros na chamada de API de bloqueio inicial e na pesquisa da operação de longa duração retornada. A atualização só será considerada bem-sucedida se a operação de longa duração for marcada como concluída sem erro.

Se UpdateLdapsSettings retornar um erro com o código INVALID_ARGUMENT, a mensagem de erro poderá explicar o que há de errado com o certificado enviado. Normalmente, esse erro é retornado durante a chamada de bloqueio inicial para a API. Nesses casos, as novas tentativas são ineficazes, e a automação enviará um alerta.

Se a API retornar qualquer outro código de erro recuperável (como UNAVAILABLE), a automação precisará tentar novamente a chamada com a espera apropriada. Esses erros geralmente são retornados ao pesquisar a operação de longa duração retornada pela chamada de bloqueio inicial para UpdateLdapsSettings.

Saiba mais sobre UpdateLdapsSettings.

Como verificar o estado LDAPSSettings

Depois de chamar UpdateLdapsSettings, é recomendável verificar se LDAPSSettings atende às expectativas e está em bom estado (ACTIVE). Chame GetLdapsSettings para comparar as impressões digitais dos certificados no estado pretendido com as impressões digitais de certificado implantadas. Use ferramentas como o OpenSSL para calcular as impressões digitais dos seus novos certificados.

Anote as diferenças de exibição entre o método que a automação usa para calcular impressões digitais e como o Microsoft AD gerenciado as armazena. Por exemplo, o Microsoft AD gerenciado armazena um Thumbprint como uma única string hexadecimal delimitada por caracteres: 771B8FD90806E074A7AD49B1624D2761137557D2. O OpenSSL retorna o seguinte para o mesmo certificado: SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2.

Saiba mais sobre o LDAPSSettings e o GetLdapsSettings.

Como criar uma cadeia de certificados PFX

Se a automação processa certificados nos formatos PEM ou CRT, você precisa convertê-los em PFX e incluir toda a cadeia de certificados.

Para converter para PFX e incluir toda a cadeia, conclua as etapas a seguir usando shell e OpenSSL.

  1. Crie um único arquivo PEM que inclua todos os certificados intermediários, bem como o certificado raiz.

    cat root-ca-cert.pem >> temp.pem
    echo -e "\n" >> temp.pem
    cat intermediate-ca-cert.pem >> temp.pem
    
  2. Crie o arquivo PFX de saída. leaf.key é a chave privada.

    openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
        -certfile temp.pem -passout "EXPORT_PASSWORD"
    
  3. Mostrar informações do arquivo PFX. Isso mostrará toda a raiz para a cadeia de folha e a chave privada.

    openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"