自動更新憑證的最佳做法

本主題將說明自動更新 LDAPS 憑證的最佳做法。

總覽

如果您核發的是效期較短的憑證，建議您自動續約這些憑證。

處理 API 錯誤

自動化動作應在初始阻斷 API 呼叫，以及輪詢傳回的長期作業時檢查錯誤。只有在長時間執行的作業標示為無錯誤完成時，更新才能視為成功。

如果 UpdateLdapsSettings 傳回錯誤代碼 INVALID_ARGUMENT，錯誤訊息會說明上傳的憑證有何問題。這個錯誤通常會在初始阻斷對 API 的呼叫期間傳回。在這種情況下，重試無效，自動化功能應會傳送快訊。

如果 API 傳回任何可重試的錯誤代碼 (例如 UNAVAILABLE)，自動化動作應使用適當的延遲時間重試呼叫。這些錯誤通常會在輪詢長時間執行的作業時傳回，這些作業是初始阻斷呼叫傳回至 UpdateLdapsSettings 的結果。

進一步瞭解 UpdateLdapsSettings。

檢查 LDAPSSettings 狀態

呼叫 UpdateLdapsSettings 後，建議您檢查 LDAPSSettings 是否符合預期，並處於良好狀態 (ACTIVE)。您可以呼叫 GetLdapsSettings，將預期狀態中的憑證指紋與已部署的憑證指紋進行比較。您可以使用 OpenSSL 等工具計算新憑證的指紋。

請注意，自動化系統用來計算指紋的方法與受管理的 Microsoft AD 儲存指紋的方式之間的任何顯示差異。舉例來說，Managed Microsoft AD 會將指紋儲存為單一未分隔的十六進制字串：771B8FD90806E074A7AD49B1624D2761137557D2。OpenSSL 會針對相同的憑證傳回以下內容：SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2。

進一步瞭解 LDAPSSettings 和 GetLdapsSettings。

建立 PFX 憑證鏈結

如果自動化工具以 PEM 或 CRT 格式取得憑證，您必須將這些憑證轉換為 PFX，並納入整個憑證鏈結。

如要轉換為 PFX 並納入整個鏈結，請使用 Shell 和 OpenSSL 完成下列步驟。

1. 建立單一 PEM 檔案，其中包含所有中繼憑證和根憑證。

   cat root-ca-cert.pem >> temp.pem
   echo -e "\n" >> temp.pem
   cat intermediate-ca-cert.pem >> temp.pem
   

2. 建構輸出 PFX 檔案。leaf.key 是私密金鑰。

   openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
       -certfile temp.pem -passout "EXPORT_PASSWORD"
   

3. 顯示 PFX 檔案的資訊。這應該會顯示整個根至葉節點鏈結和私密金鑰。

   openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"