LDAPS aktivieren

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite erfahren Sie, wie Sie LDAP über SSL/TLS (LDAPS) für Managed Service for Microsoft Active Directory (Managed Microsoft AD) aktivieren, um Ihren LDAP-Traffic vertraulich und sicher zu gestalten. Standardmäßig wird die Kommunikation zwischen Managed Microsoft AD und den Client-Anwendungen bei einfachen LDAP-Bindungen nicht verschlüsselt.

Zum Aktivieren von LDAPS benötigen Sie ein Zertifikat. Auf dieser Seite werden auch die Spezifikationen für das erforderliche Zertifikat und seine Überprüfung und Überwachung beschrieben.

Zertifikat anfordern

Sie können ein Zertifikat von einer öffentlichen Zertifizierungsstelle (CA), Enterprise CA oder Google Cloud Certificate Authority Service anfordern oder ein selbst signiertes Zertifikat verwenden. Sie können ein selbst signiertes Zertifikat mit dem Befehl New-SelfSignedCertificate unter Windows, OpenSSL oder MakeCert erstellen.

Zertifikatsanforderungen

Ihr Zertifikat muss die folgenden Anforderungen erfüllen:

  • Betreffname: Muss der Platzhalter mit dem Präfix Ihrer Managed Microsoft AD-Domain sein, damit der Dienst während eines Upgrades oder einer Wiederherstellung verfügbar bleibt. Dies liegt daran, dass Domaincontroller zufällige Namen verwenden, die sich während eines Upgrades/Wiederherstellens ändern. Wenn der Domainname beispielsweise ad.mycompany.com lautet, muss der Betreffname CN=*.ad.mycompany.com lauten.

  • Alternativer Antragstellername (DNS-Name oder SAN): Er darf nur Folgendes enthalten:

    • Platzhaltername Ihrer Managed Microsoft AD-Domain
    • Managed Microsoft AD-Domainname.

    Beispiel: "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"

  • KeySpec: Es muss auf „1“ gesetzt sein, was bedeutet, dass es sowohl für die digitale Signatur als auch für den Schlüsselaustausch verwendet werden kann.

  • KeyLength: Die minimale Schlüsselgröße hängt vom kryptografischen Algorithmus ab.

    • RSA: mindestens 2.048 Bit
    • ECDSA (mindestens 256 Bit):
    • ED25519: 512 Bit (feste Länge)

  • KeyUsage:Es muss „digitalen Signaturen“ und „Schlüsselverschlüsselung“ enthalten.

  • EnhancedKeyUsageExtension: Muss für die Serverauthentifizierung OID=1.3.6.1.5.5.7.3.1 haben.

  • NotBefore:Die Zeit, ab der das Zertifikat gültig ist. Das Zertifikat muss gültig sein, wenn LDAPS aktiviert wird.

  • NotAfter: Die Zeit, nach der das Zertifikat ungültig ist. Das Zertifikat muss gültig sein, wenn LDAPS aktiviert wird.

  • Issuing Chain:Die gesamte Zertifikatskette muss hochgeladen und gültig sein. Die Kette muss linear sein und darf nicht mehrere Ketten haben.

  • Signaturalgorithmus: Schwache Signaturalgorithmen wie SHA-1, MD2 und MD5 werden nicht unterstützt.

  • Zertifikatsformat: Das Format muss den PKCS 12 (Public-Key Cryptography Standards) entsprechen. Sie müssen eine PFX-Datei verwenden.

Anfrage von einer öffentlichen oder Enterprise-CA

Wenn Sie ein Zertifikat von einer öffentlichen oder einer Enterprise-Zertifizierungsstelle anfordern möchten, folgen Sie dieser Anleitung.

Akzeptieren Sie das Zertifikat auf derselben VM, auf der die Anfrage generiert wird.

Zertifikat im PKCS #12-Format exportieren

So exportieren Sie das Zertifikat im PKCS #12-Format (als PFX-Datei):

  1. Gehen Sie unter Windows zu Ihren Zertifikaten in der Microsoft Management Console (MMC).

  2. Maximieren Sie Lokale Computerzertifikate und gehen Sie zu Persönlich > Zertifikate.

  3. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie zum Aktivieren von LDAPS erstellt haben, und wählen Sie All Tasks > Export (Alle Aufgaben) aus.

  4. Klicken Sie im Dialogfeld Assistent für den Zertifikatexport auf Weiter.

  5. Wählen Sie auf der Seite Privaten Schlüssel exportieren Ja aus, um den privaten Schlüssel zu exportieren.

  6. Klicken Sie auf der Seite Dateiformat exportieren auf das Kästchen Personal Information Exchange – PKCS #12 (.PFX) und Fügen Sie nach Möglichkeit alle Zertifikate in den Zertifizierungspfad ein. Klicken Sie auf Weiter.

  7. Klicken Sie auf der Seite Sicherheit das Kästchen Passwort an und geben Sie ein starkes Passwort ein, um das Zertifikat zu schützen. Klicken Sie auf Weiter. Dieses Passwort ist erforderlich, wenn Sie LDAPS in Ihrer Managed Microsoft AD-Domain konfigurieren.

  8. Geben Sie auf der Seite Zu exportierende Datei den Zielnamen und -pfad für die zu exportierende PFX-Datei ein. Klicken Sie auf Next.

  9. Klicken Sie auf Finish (Beenden).

Ausstellerkette auf Clientcomputer exportieren

Damit LDAPS funktioniert, müssen alle Clientcomputer dem Aussteller des LDAPS-Zertifikats vertrauen. Bei einer bekannten öffentlichen Zertifizierungsstelle können die Clientcomputer möglicherweise bereits der Ausstellerkette vertrauen. Wenn die Kette nicht vertrauenswürdig ist, führen Sie die folgenden Schritte aus, um die Ausstellerkette zu exportieren:

  1. Gehen Sie unter Windows zu Ihren Zertifikaten in der Microsoft Management Console (MMC).

  2. Maximieren Sie Zertifikate von lokalen Computern und gehen Sie zu Persönlich > Zertifikate. Doppelklicken Sie auf das LDAPS-Zertifikat.

  3. Klicken Sie im Fenster Zertifikat auf den Tab Zertifizierungspfad.

  4. Wählen Sie auf dem Tab Zertifizierungspfad das Stamm-Zertifikat im Pfad aus.

  5. Klicken Sie auf Zertifikat ansehen.

  6. Klicken Sie auf den Tab Details und dann auf In Datei kopieren....

  7. Wählen Sie im angezeigten Dialogfeld Certificate Export Wizard den Base-64-codierten X.509-Code aus und klicken Sie auf Next.

  8. Wählen Sie den Dateinamen und den Speicherort für die Zertifikatskette aus und klicken Sie auf Finish (Fertigstellen).

  9. Zum Kopieren des Zertifikats auf den Clientcomputer, auf dem die LDAPS-Verbindung hergestellt wird, verwenden Sie das Dialogfeld Assistent für Zertifikatimport, um das Zertifikat in den Speicher „Lokaler Rechner“ zu importieren. Alternativ können Sie die Zertifikatskette der ausstellenden Behörden auf die Clientcomputer unter Verwendung von Gruppenrichtlinien in Windows verteilen.

LDAPS in einer verwalteten Microsoft AD-Domain aktivieren

Führen Sie die folgenden Schritte aus, bevor Sie LDAPS in Ihrer Managed Microsoft AD-Domain aktivieren:

  1. Prüfen Sie, ob Sie eine der folgenden IAM-Rollen haben:

    • Google Cloud Managed Identities-Administrator (roles/managedidentities.admin)
    • Google Cloud Managed Identities-Domainadministrator (roles/managedidentities.domainAdmin)

    Weitere Informationen zu IAM-Rollen für Managed Microsoft AD finden Sie unter Zugriffssteuerung.

So aktivieren Sie LDAPS in Ihrer Managed Microsoft AD-Domain:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Managed Microsoft AD auf.
    Zur Seite „Managed Microsoft AD“
  2. Wählen Sie auf der Seite Domains eine Domain aus der Liste der Instanzen aus, um LDAPS zu aktivieren.
  3. Klicken Sie auf der Seite Domaindetails im Abschnitt LDAPS auf LDAPS konfigurieren.
  4. Geben Sie im Bereich LDAPS konfigurieren den Speicherort der PFX-Datei und das Passwort ein, das Sie zum Exportieren des Zertifikats im PKCS #12-Format verwendet haben, und klicken Sie dann auf LDAPS konfigurieren.

gcloud

Führen Sie den folgenden gcloud CLI-Befehl aus:

 gcloud active-directory domains update-ldaps-settings DOMAIN_NAME 

      --certificate-pfx-file=PFX_FILENAME 

      --certificate-password=PASSWORD

Dabei gilt:

  • DOMAIN_NAME: Der vollständige Ressourcenname Ihrer Managed Microsoft AD-Domain. Format des vollständigen Ressourcennamens: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
  • PFX_FILENAME: Die PFX-Datei im PKCS-Format #12, die die für die Konfiguration von LDAPS verwendete Zertifikatkette angibt.
  • PASSWORD: Das Passwort zum Verschlüsseln des PKCS #12-Zertifikats. Wenn Sie kein Passwort angeben, werden Sie beim Ausführen des Befehls zur Eingabe des Passworts aufgefordert.

Dieser Vorgang kann bis zu 20 Minuten dauern. Wiederholen Sie diese Schritte mit der aktualisierten PFX-Datei, um das Zertifikat zu aktualisieren.

LDAPS bestätigen

Sie können überprüfen, ob LDAPS aktiviert ist, indem Sie eine LDAPS-Bindung durchführen. In diesem Prozess wird LDP.exe verwendet, eines der RSAT-Tools, das Sie beim Verbinden einer VM mit der Domain installieren.

Führen Sie auf einer Domain, die Teil einer Google Cloud-Windows-VM ist, die folgenden Schritte in PowerShell aus:

  1. Starten Sie LDP.exe in PowerShell und gehen Sie zu Verbindung > Verbinden.

  2. Führen Sie im Dialogfeld Verbinden die folgenden Schritte aus:

    1. Geben Sie in das Feld Server Ihren Domainnamen ein.
    2. Geben Sie in das Feld Port die Zahl 636 ein.
    3. Klicken Sie das Kästchen SSL an.
    4. Klicken Sie auf OK.

    Wenn LDAPS ordnungsgemäß aktiviert ist, ist die Verbindung erfolgreich.

Zertifikat überwachen

Sie können die Gültigkeitsdauer (Time to Live, TTL) für eine Zertifikatskette in Cloud Monitoring aufrufen. Der Messwert cert_ttl gibt die Anzahl der verbleibenden gültigen Tage für das Zertifikat in der Kette mit dem frühesten Ablauf an.

Console

So rufen Sie mit dem Metrics Explorer die Messwerte für eine überwachte Ressource auf:

  1. Rufen Sie in der Google Cloud Console unter „Monitoring“ die Seite „Metrics Explorer” auf.

    2. Zum Metrics Explorer

  2. Wählen Sie den Tab Konfiguration aus.
  3. Maximieren Sie das Menü Messwert auswählen, geben Sie LDAPS Certificate TTL in die Filterleiste ein und wählen Sie dann über die Untermenüs einen bestimmten Ressourcentyp und Messwert aus:
    1. Wählen Sie im Menü Aktive Ressourcen die Option Microsoft Active Directory-Domain aus.
    2. Wählen Sie im Menü Aktive Messwertkategorien die Option Microsoft_ad aus.
    3. Wählen Sie im Menü Aktive Messwerte die Option LDAPS-Zertifikat-TTL aus.
    4. Klicken Sie auf Anwenden.
  4. Optional: Konfigurieren Sie die Anzeige der Daten, fügen Sie Filter hinzu und verwenden Sie die Menüs Gruppieren nach, Aggregator und Diagrammtyp. Sie können beispielsweise nach Ressourcen- oder Messwertlabels gruppieren. Weitere Informationen finden Sie unter Messwerte bei Verwendung von Metrics Explorer auswählen.
  5. Optional: Ändern Sie die Diagrammeinstellungen:
    • Legen Sie für Kontingente und andere Messwerte, die eine Stichprobe pro Tag melden, den Zeitraum auf mindestens eine Woche fest und geben Sie als Darstellungstyp Übereinander angeordnetes Balkendiagramm an.
    • Stellen Sie für Verteilungsmesswerte die Darstellung auf Heatmap-Diagramm ein.

Sie können auch im Abschnitt LDAPS der Seite Domaindetails auf Monitoring klicken, um den Metrics Explorer zu öffnen.

Sie können diese Messwerte auch mit dem Abfrageeditor finden.

  1. Wählen Sie auf dem Tab Messwert die Option Abfrageeditor aus.

  2. Geben Sie im Textfeld des Abfrageeditors die folgende MQL-Abfrage ein und wählen Sie Run Query (Abfrage ausführen) aus.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

LDAPS deaktivieren

So deaktivieren Sie LDAPS:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Managed Microsoft AD auf.
    Zum Managed Microsoft AD
  2. Wählen Sie auf der Seite Domains die Domain aus der Liste der Instanzen aus, für die Sie das Zertifikat deaktivieren möchten.
  3. Klicken Sie auf der Seite Domaindetails im Abschnitt LDAPS auf Deaktivieren.

gcloud

Führen Sie den folgenden gcloud CLI-Befehl aus:

gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
   --clear-ldaps-certificate

Ersetzen Sie DOMAIN_NAME durch den vollständigen Ressourcennamen der Managed Microsoft AD-Domain. Format des vollständigen Ressourcennamens: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

Dieser Vorgang kann bis zu 20 Minuten dauern. Wenn Sie LDAPS wieder aktivieren möchten, müssen Sie die Zertifikate noch einmal hochladen.