LDAPS verwenden

Die Kommunikation zwischen Managed Service for Microsoft Active Directory und Clientanwendungen ist für einfache LDAP-Bindungen standardmäßig nicht verschlüsselt. Sie können den LDAP-Traffic mithilfe von LDAP über SSL (LDAPS) vertraulich und sicher machen.

In diesem Thema wird beschrieben, wie Sie LDAP über SSL (LDAPS) für Managed Service for Microsoft Active Directory aktivieren und deaktivieren. In diesem Thema werden auch die Spezifikationen für das erforderliche Zertifikat und dessen Überprüfung und Überwachung beschrieben.

Zertifikat anfordern

Sie können das Zertifikat von einer Public Certificate Authority (CA), einer Enterprise CA, Google Cloud Certificate Authority Service anfordern oder ein selbst signiertes Zertifikat verwenden. Sie können ein selbst signiertes Zertifikat mit dem Befehl New-SelfSignedCertificate unter Windows, OpenSSL oder MakeCert erstellen.

Zertifikatsanforderungen

Ihr Zertifikat muss die folgenden Anforderungen erfüllen.

  • Inhabername Es muss sich um den Namen Ihrer Managed Microsoft AD-Domain handeln, dem ein Platzhalter vorangestellt ist. Wenn der Domainname beispielsweise ad.mycompany.com lautet, muss der Inhabername CN=*.ad.mycompany.com lauten.

  • Alternativer Antragstellername (DNS-Name oder SAN) Darf nur Folgendes enthalten:

    • Platzhaltername Ihrer Managed Microsoft AD-Domain
    • Managed Microsoft AD-Domainname. Beispiel: "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
  • KeySpec. Sollte auf "1" gesetzt sein, was darauf hinweist, dass der Schlüssel sowohl für digitale Signaturen als auch für den Schlüsselaustausch verwendet werden kann.

  • KeyLength. Die Mindestschlüsselgröße hängt vom kryptografischen Algorithmus ab.

    • RSA: Mindestens 2.048 Bit
    • ECDSA: Mindestens 256 Bit
    • ED25519: 512 Bit (feste Länge)
  • KeyUsage. Sie muss "digitale Signaturen" und "key encipherment" enthalten.

  • EnhancedKeyUsageExtension. Es muss für die Serverauthentifizierung OID=1.3.6.1.5.5.7.3.1 haben.

  • NotBefore. Zeit, ab der das Zertifikat gültig ist. Das Zertifikat muss gültig sein, wenn LDAPS aktiviert wird.

  • NotAfter. Zeit, nach dem das Zertifikat ungültig ist. Das Zertifikat muss gültig sein, wenn LDAPS aktiviert wird.

  • Ausstellende Kette. Die gesamte Zertifikatskette muss hochgeladen werden und gültig sein. Die Kette muss linear sein und darf nicht mehrere Ketten haben.

  • Signaturalgorithmus. Schwache Signaturalgorithmen wie SHA-1, MD2, MD5 werden nicht unterstützt.

  • Zertifikatsformat Das Format muss den Public-Key Cryptography Standards (PKCS) Nr. 12 entsprechen. Verwenden Sie eine PFX-Datei.

Von einer öffentlichen oder Unternehmens-Zertifizierungsstelle anfordern

Führen Sie diese Schritte aus, um ein Zertifikat von einer öffentlichen oder Unternehmens-Zertifizierungsstelle anzufordern.

Akzeptieren Sie das Zertifikat auf derselben VM, auf der die Anfrage generiert wird.

Zertifikat im PKCS #12-Format exportieren

So exportieren Sie das Zertifikat im PKCS #12-Format:

  1. Rufen Sie in Windows in der Microsoft Management Console (MMC) Ihre Zertifikate auf.

  2. Maximieren Sie Lokale Computerzertifikate und gehen Sie dann zu Persönliche > Zertifikate.

  3. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie zum Aktivieren von LDAPS erstellt haben, und wählen Sie dann Alle Aufgaben > Exportieren aus.

  4. Wählen Sie im Assistenten für den Zertifikatexport die Option Weiter aus.

  5. Wählen Sie auf der Seite Privaten Schlüssel exportieren Ja aus, um den privaten Schlüssel zu exportieren.

  6. Auf der Dateiformat exportieren-Seite, wählen Sie Austausch personenbezogener Daten – PKCS #12 (.PFX) und Fügen Sie nach Möglichkeit alle Zertifikate in den Zertifizierungspfad ein und wählen Sie dann Weiter.

  7. Wählen Sie auf der Seite Sicherheit die Option Passwort aus und geben Sie ein starkes Passwort ein, um das Zertifikat zu schützen. Dieses Passwort ist erforderlich, wenn Sie LDAPS in Ihrer Managed Microsoft AD-Domain konfigurieren. Wählen Sie Weiter.

  8. Geben Sie auf der Seite Zu exportierende Datei den Zielnamen und -pfad für die zu exportierende PFX-Datei an und wählen Sie Weiter aus.

  9. Klicken Sie im Assistent für den Zertifikatexport auf Fertigstellen.

Ausstellerkette auf Clientcomputer exportieren

Damit LDAPS funktioniert, müssen alle Clientcomputer dem Aussteller des LDAPS-Zertifikats vertrauen. Bei einer bekannten öffentlichen Zertifizierungsstelle können die Clientcomputer möglicherweise bereits der Ausstellerkette vertrauen. Wenn die Kette nicht vertrauenswürdig ist, führen Sie die folgenden Schritte aus, um die Ausstellerkette zu exportieren.

  1. Rufen Sie in Windows in der Microsoft Management Console (MMC) Ihre Zertifikate auf.

  2. Maximieren Sie Lokale Computerzertifikate und gehen Sie dann zu Persönliche > Zertifikate. Doppelklicken Sie auf das LDAPS-Zertifikat.

  3. Wählen Sie auf der Seite Zertifikat den Tab Zertifizierungspfad aus.

  4. Wählen Sie auf dem Tab Zertifizierungspfad das Stamm-Zertifikat im Pfad aus.

  5. Wählen Sie Zertifikat anzeigen und dann den Tab Details aus.

  6. Wählen Sie auf dem Tab Details die Option In Datei kopieren... aus.

  7. Wählen Sie im Zertifikatsexport-Assistent die Option Base-64-codiert X.509 und dann Weiter aus.

  8. Wählen Sie den Dateinamen und den Speicherort für die Zertifikatskette und dann Fertigstellen aus.

  9. Kopieren Sie das Zertifikat mit dem Zertifikatsimportassistenten auf den Clientcomputer, der die LDAPS-Verbindung herstellt, in den Speicher "Lokaler Computer". Alternativ können Sie die Zertifikatskette der ausstellenden Zertifizierungsstellen an die Clientcomputer verteilen. Unter Windows können Sie dies mithilfe von Gruppenrichtlinien tun.

LDAPS in einer Managed Microsoft AD-Domain aktivieren

Führen Sie die folgenden Schritte aus, um LDAPS in Ihrer Managed Microsoft AD-Domain zu aktivieren.

  1. Prüfen Sie, ob Ihr Konto die Berechtigung managedidentities.domains.updateLDAPSSettings hat. Sie können diese Berechtigung einzeln erteilen oder die IAM-Rolle roles/managedidentities.admin oder roles/managedidentities.domainAdmin gewähren. Weitere Informationen zu Managed Microsoft AD-IAM-Rollen.

  2. Gehen Sie folgendermaßen vor:

    Console

    1. Öffnen Sie in der Cloud Console die Seite Managed Microsoft AD.
      Zur Seite "Managed Microsoft AD"
    2. Wählen Sie auf der Seite Managed Microsoft AD in der Liste der Instanzen die Domain aus, für die Sie LDAPS aktivieren möchten.
    3. Wählen Sie auf der Seite mit den Domaindetails unter LDAPS die Option LDAPS konfigurieren aus.
    4. Geben Sie im Bereich LDAPS konfigurieren den Speicherort der PFX-Datei und das Passwort an, das Sie beim Exportieren des Zertifikats im PKCS #12-Format erstellt haben. Wählen Sie dann LDAPS konfigurieren aus.

    gcloud

    Führen Sie den folgenden Werkzeugbefehl gcloud aus:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
        --certificate-pfx-file=PFX_FILENAME \
        --certificate-password=PASSWORD
    

LDAPS verifizieren

Sie können prüfen, ob LDAPS aktiviert ist. Führen Sie dazu eine LDAPS-Bindung durch. Dieser Prozess verwendet die LDP.exe, eines der RSAT-Tools, die Sie installieren, wenn Sie die VM mit der Domain verknüpfen.

Führen Sie auf einer mit einer Domain verbundenen Google Cloud Windows-VM die folgenden Schritte in PowerShell aus.

  1. Starten Sie LDP.exe in PowerShell und gehen Sie dann zu Verbindung > Verbinden.

  2. Führen Sie im Dialogfeld Verbinden die folgenden Schritte aus.

    1. Legen Sie für Server Ihren Domainnamen fest.
    2. Legen Sie für Port den Wert 636 fest.
    3. Wählen Sie SSL aus.
    4. Klicken Sie auf OK.

    Wenn LDAPS ordnungsgemäß aktiviert ist, ist die Verbindung erfolgreich.

Zertifikat überwachen

Sie können die Gültigkeitsdauer (Time to Live, TTL) für eine Zertifikatskette in Cloud Monitoring aufrufen. Der Messwert cert_ttl gibt die Anzahl der verbleibenden gültigen Tage für das Zertifikat in der Kette mit dem frühesten Ablauf an.

So rufen Sie mit dem Metrics Explorer die Messwerte für eine überwachte Ressource auf:

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

  2. Klicken Sie im Navigationsbereich von Monitoring auf Metrics Explorer.
  3. Wählen Sie den Tab Konfiguration aus und geben Sie dann einen Ressourcentyp und einen Messwert ein. Verwenden Sie die folgenden Informationen, um die Felder auszufüllen:
    1. Wählen Sie für die Ressource die Option Microsoft Active Directory-Domain aus oder geben Sie es ein.
    2. Treffen Sie für Messwert eine Auswahl im Menü oder geben Sie LDAPS Certificate TTL ein.
  4. (Optional) Mit den Menüs Filter, Gruppieren nach und Aggregator können Sie festlegen, wie die Daten angezeigt werden. Sie können beispielsweise nach Ressourcen- oder Messwertlabels gruppieren. Weitere Informationen finden Sie unter Messwerte auswählen.

Sie können diese Messwerte auch mit dem Abfrageeditor ermitteln.

  1. Wählen Sie auf dem Tab Messwert die Option Abfrageeditor aus.

  2. Geben Sie im Textfeld des Abfrageeditors die folgende MQL-Abfrage ein und wählen Sie dann Abfrage ausführen aus.

    fetch microsoft_ad_domain
    | metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
    | group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
    | every 1m
    | group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]
    

LDAPS deaktivieren

Führen Sie die folgenden Schritte aus, um LDAPS zu deaktivieren. Beachten Sie, dass Sie die Zertifikate noch einmal hochladen müssen, um LDAPS wieder zu aktivieren.

Console

  1. Öffnen Sie in der Cloud Console die Seite Managed Microsoft AD.
    Zur Seite "Managed Microsoft AD"
  2. Wählen Sie auf der Seite Managed Microsoft AD in der Liste der Instanzen die Domain aus, für die Sie ein Zertifikat deaktivieren möchten.
  3. Wählen Sie auf der Seite mit den Domaindetails unter LDAPS das Zertifikat aus und wählen Sie dann Deaktivieren aus.

gcloud

Führen Sie den folgenden gcloud-Toolbefehl aus.

gcloud active-directory domains update-ldaps-settings DOMAIN \
     --clear-ldaps-certificate