本主题介绍了自动为 LDAPS 续订证书的最佳做法。
概览
如果您要颁发短期证书,我们建议您自动续订这些证书。
处理 API 错误
自动化在初始阻止 API 调用以及轮询返回的长时间运行的操作时应检查错误。仅当长时间运行的操作被标记为没有错误时,更新才被视为成功。
如果 UpdateLdapsSettings 返回代码为 INVALID_ARGUMENT 的错误,错误消息就可以说明上传的证书存在问题。在对 API 进行初始阻塞调用期间,通常会返回此错误。在这种情况下,重试是无效的,并且自动化功能应发送提醒。
如果 API 返回其他任何可重试的错误代码(例如 UNAVAILABLE),则自动化应通过适当退避重试调用。在轮询由初始阻止调用 UpdateLdapsSettings 返回的长时间运行的操作时,通常会返回这些错误。
详细了解 UpdateLdapsSettings。
检查 LDAPSSettings 状态
调用 UpdateLdapsSettings 后,最好检查 LDAPSSettings 是否符合预期以及是否处于良好状态 (ACTIVE)。您可以调用 GetLdapsSettings,将预期状态的证书指纹与已部署的证书指纹进行比较。您可以使用 OpenSSL 等工具计算新证书的指纹。
记下自动化功能用于计算指纹的方法与 Managed Microsoft AD 存储指纹的方法之间的任何显示差异。例如,Managed Microsoft AD 会将指纹作为单个未分隔的十六进制字符串 771B8FD90806E074A7AD49B1624D2761137557D2 存储。OpenSSL 会针对同一证书返回以下内容:SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2。
了解有关 LDAPSSettings 和 GetLdapsSettings 的详情。
构建 PFX 证书链
如果您的自动化测试以 PEM 或 CRT 格式获取证书,则必须将其转换为 PFX 并包含整个证书链。
如需转换为 PFX 并添加整个链,请使用 shell 和 OpenSSL 完成以下步骤。
创建一个包含所有中间证书以及根证书的 PEM 文件。
cat root-ca-cert.pem >> temp.pem echo -e "\n" >> temp.pem cat intermediate-ca-cert.pem >> temp.pem
构建输出 PFX 文件。
leaf.key是私钥。openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \ -certfile temp.pem -passout "EXPORT_PASSWORD"显示 PFX 文件的信息。此时应显示整个根到叶链和私钥。
openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"