LDAPS verwenden

Standardmäßig wird die Kommunikation zwischen Managed Service for Microsoft Active Directory und Clientanwendungen nicht für einfache LDAP-Bindungen verschlüsselt. Sie können LDAP-Traffic vertraulich und sicher mit LDAP über SSL (LDAPS) schützen.

In diesem Thema erfahren Sie, wie Sie LDAP über SSL (LDAPS) für Managed Service for Microsoft Active Directory aktivieren und deaktivieren. In diesem Thema werden außerdem die Spezifikationen für das erforderliche Zertifikat und die Verifizierung und Überwachung des Zertifikats beschrieben.

Zertifikat anfordern

Sie können das Zertifikat von einer öffentlichen Zertifizierungsstelle (Certificate Authority, CA), Enterprise CA oder vom Google Cloud-Zertifizierungsstelle anfordern oder ein selbst signiertes Zertifikat verwenden. Sie können ein selbst signiertes Zertifikat mit dem Befehl New-SelfSignedCertificate unter Windows, OpenSSL oder MakeCert erstellen.

Zertifikatsanforderungen

Ihr Zertifikat muss die folgenden Anforderungen erfüllen:

  • Betreffname: Es muss der Platzhaltername der Managed Microsoft AD-Domain sein. Wenn der Domainname beispielsweise "ad.mycompany.com" ist, muss der Betreffname CN=*.ad.mycompany.com lauten.

  • Subject Alternative Name (DNS-Name oder SAN): Er darf nur Folgendes enthalten:

    • Platzhaltername Ihrer Managed Microsoft AD-Domain
    • Name der verwalteten Microsoft AD-Domain Beispiel: "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
  • KeySpec übergeben. Er sollte auf "1" gesetzt sein. Damit wird angegeben, dass er sowohl für die digitale Signatur als auch für den Schlüsselaustausch verwendet werden kann.

  • KeyLength an. Die minimale Schlüsselgröße hängt vom kryptografischen Algorithmus ab.

    • RSA: mindestens 2.048 Bit
    • ECDSA: mindestens 256 Bit
    • ED25519: 512 Bit (feste Länge)
  • KeyUsage abrufen. Er muss "digitale Signaturen" und "Schlüsselverschlüsselung" enthalten.

  • EnhancedKeyUsageExtension erweitert. Für die Serverauthentifizierung muss die OID=1.3.6.1.5.5.7.3.1 erforderlich sein.

  • NotBefore verfügbar. Die Zeit, ab der das Zertifikat gültig ist Das Zertifikat muss bei der Aktivierung von LDAPS gültig sein.

  • NotAfter Der Zeitraum, nach dem das Zertifikat nicht gültig ist. Das Zertifikat muss bei der Aktivierung von LDAPS gültig sein.

  • Kaufkette: Die gesamte Zertifikatkette muss hochgeladen werden und muss gültig sein. Die Kette muss linear sein und nicht mehrere Ketten aufweisen.

  • Signaturalgorithmus schwache Signaturalgorithmen wie SHA-1, MD2 und MD5 werden nicht unterstützt.

  • Zertifikatsformat. Das Format muss dem Public-Key-Kryptografie-Standard (PKCS) Nr. 12 entsprechen. Verwenden Sie stattdessen eine PFX-Datei.

Von einer öffentlichen oder Enterprise-CA anfordern

Führen Sie diese Schritte aus, um ein Zertifikat von einer öffentlichen oder einer Zertifizierungsstelle anzufordern.

Sie müssen das Zertifikat auf derselben VM akzeptieren, auf der die Anfrage generiert wird.

Zertifikat im PKCS #12-Format exportieren

Führen Sie die folgenden Schritte zum Exportieren des Zertifikats als PFX-Datei aus, um das Zertifikat im PKCS #12-Format zu exportieren.

  1. Rufen Sie in Windows in der Microsoft Management Console (MMC) Ihre Zertifikate auf.

  2. Erweitern Sie Lokale Computerzertifikate und rufen Sie dann Persönliche > Zertifikate auf.

  3. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie zum Aktivieren von LDAPS erstellt haben, und wählen Sie dann Alle Aufgaben > Export aus.

  4. Wählen Sie im Zertifikatexport-Assistent die Option Weiter aus.

  5. Wähle auf der Seite Privaten Schlüssel exportieren die Option Ja aus, um den privaten Schlüssel zu exportieren.

  6. Auf derDateiformat exportieren Seite, auswählenAustausch von persönlichen Informationen – PKCS #12 (.PFX) undFügen Sie nach Möglichkeit alle Zertifikate in den Zertifizierungspfad ein. und wählen Sie dann"Weiter" auf.

  7. Wählen Sie auf der Seite Sicherheit die Option Passwort aus und geben Sie ein starkes Passwort ein, um das Zertifikat zu schützen. Dieses Passwort ist erforderlich, wenn Sie LDAPS in Ihrer Managed Microsoft AD-Domain konfigurieren. Wählen Sie Weiter.

  8. Geben Sie auf der Seite Zu exportierende Datei den Zielnamen und den Pfad für die zu exportierende PFX-Datei an. Wählen Sie dann Weiter aus.

  9. Klicken Sie im Zertifikatexport-Assistent auf Fertigstellen.

Aussteller-Kette auf Clientcomputer exportieren

Damit LDAPS funktioniert, müssen alle Client-Computer den Aussteller des LDAPS-Zertifikats vertrauen. Bei einer bekannten öffentlichen CA können die Client-Computer bereits der Ausstellerkette vertrauen. Wenn die Kette nicht vertrauenswürdig ist, führen Sie die folgenden Schritte aus, um die Ausstellerkette zu exportieren.

  1. Rufen Sie in Windows in der Microsoft Management Console (MMC) Ihre Zertifikate auf.

  2. Erweitern Sie Lokale Computerzertifikate und rufen Sie dann Persönliche > Zertifikate auf. Klicken Sie doppelt auf das LDAPS-Zertifikat.

  3. Wählen Sie auf der Seite Zertifikat den Tab Zertifizierungspfad aus.

  4. Wählen Sie auf dem Tab Zertifizierungspfad das Root-Zertifikat im Pfad aus.

  5. Wählen Sie Zertifikat ansehen und dann den Tab Details aus.

  6. Wählen Sie auf dem Tab Details die Option In Datei kopieren... aus.

  7. Wählen Sie im Zertifikatexport-Assistent die Option Base-64-codiert X.509 und dann Weiter aus.

  8. Wählen Sie den Dateinamen und den Speicherort für die Zertifikatkette aus und klicken Sie auf Finish (Fertigstellen).

  9. Kopieren Sie das Zertifikat mit dem Certificate Import Wizard (Assistent für den Zertifikatimport) in den Clientcomputer, der die LDAPS-Verbindung erstellt. Alternativ können Sie die Zertifikatskette der ausgestellten Behörden an die Clientcomputer verteilen. Unter Windows ist dies mithilfe von Gruppenrichtlinien möglich.

LDAPS auf einer verwalteten Microsoft AD-Domain aktivieren

So aktivieren Sie LDAPS auf Ihrer Managed Microsoft AD-Domain:

  1. Sorgen Sie dafür, dass Ihr Konto die Berechtigung managedidentities.domains.updateLDAPSSettings hat. Sie können diese Berechtigung einzeln gewähren oder die IAM-Rolle roles/managedidentities.admin oder roles/managedidentities.domainAdmin erteilen. Weitere Informationen zu verwalteten Microsoft AD-IAM-Rollen.

  2. Führen Sie dazu die folgenden Schritte aus.

    Console

    1. Rufen Sie in der Cloud Console die Seite Managed Microsoft AD auf.
      Zur Seite "Managed Microsoft AD"
    2. Wählen Sie auf der Seite "Verwaltete Microsoft AD" in der Liste der Instanzen die Domain aus, in der Sie LDAPS aktivieren möchten.
    3. Wählen Sie auf der Seite mit den Domaindetails unter LDAPS die Option LDAPS konfigurieren aus.
    4. Geben Sie im Bereich LDAPS konfigurieren den Speicherort der PFX-Datei und das Passwort an, das Sie beim Exportieren des Zertifikats im PKCS #12-Format erstellt haben, und wählen Sie dann LDAPS konfigurieren aus.

    gcloud

    Führen Sie den folgenden Werkzeugbefehl gcloud aus:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
        --certificate-pfx-file=PFX_FILENAME \
        --certificate-password=PASSWORD
    

LDAPS prüfen

Sie können überprüfen, ob LDAPS aktiviert ist, indem Sie versuchen, eine LDAPS-Bindung auszuführen. In diesem Prozess wird LDP.exe verwendet. Dies ist eines der RSAT-Tools, die Sie installieren, wenn Sie die VM mit der Domain verbinden.

Führen Sie auf einer mit der Domain verknüpften Google Cloud Windows-VM die folgenden Schritte in PowerShell aus.

  1. Starten Sie in PowerShell "LDP.exe" und rufen Sie dann Verbindung > Connect auf.

  2. Führen Sie im Dialogfeld Connect (Verbinden) die folgenden Schritte aus.

    1. Setzen Sie Server auf Ihren Domainnamen.
    2. Geben Sie für Port den Wert 636 ein.
    3. Wählen Sie SSL aus.
    4. Klicken Sie auf OK.

    Wenn LDAPS ordnungsgemäß aktiviert ist, ist die Verbindung erfolgreich.

Zertifikat überwachen

Sie können sich die Gültigkeitsdauer (TTL) für eine Zertifikatskette in Cloud Monitoring ansehen. Der Messwert cert_ttl gibt die Anzahl der verbleibenden Tage für das Zertifikat mit dem frühesten Ablaufdatum an.

So rufen Sie mit dem Metrics Explorer die Messwerte für eine überwachte Ressource auf:

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

  2. Klicken Sie im Navigationsbereich von Monitoring auf Metrics Explorer.
  3. Wählen Sie den Tab Konfiguration aus und geben Sie dann einen Ressourcentyp oder einen Messwert ein oder wählen Sie ihn aus. Verwenden Sie die folgenden Informationen, um die Felder auszufüllen:
    1. Wählen Sie für die Ressource Microsoft Active Directory Domain aus oder geben Sie sie ein.
    2. Treffen Sie für Metric (Messwert) eine Auswahl aus dem Menü oder geben Sie LDAPS Certificate TTL ein.
  4. (Optional) Wenn du die Ansicht der Daten anpassen möchtest, verwende dieFiltern , Gruppieren nach undAggregator Menüs. Sie können beispielsweise nach Ressourcen- oder Messwertlabels gruppieren. Weitere Informationen finden Sie unter Messwerte auswählen.

Diese Messwerte können auch mit dem Abfrageeditor ermittelt werden.

  1. Wählen Sie auf dem Tab Messwert die Option Abfrageeditor aus.

  2. Geben Sie in das Textfeld des Abfrageeditors die folgende MQL-Abfrage ein und wählen Sie Run Query (Abfrage ausführen) aus.

    fetch microsoft_ad_domain
    | metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
    | group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
    | every 1m
    | group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]
    

LDAPS deaktivieren

So deaktivieren Sie LDAPS: Zum erneuten Aktivieren von LDAPS müssen Sie die Zertifikate noch einmal hochladen.

Console

  1. Rufen Sie in der Cloud Console die Seite Managed Microsoft AD auf.
    Zur Seite "Managed Microsoft AD"
  2. Wählen Sie auf der Seite "Verwaltete Microsoft AD" in der Liste der Instanzen die Domain aus, für die Sie ein Zertifikat deaktivieren möchten.
  3. Wählen Sie auf der Seite mit den Domaindetails unter LDAPS das Zertifikat und dann Deaktivieren aus.

gcloud

Führen Sie den folgenden gcloud-Toolbefehl aus.

gcloud active-directory domains update-ldaps-settings DOMAIN \
     --clear-ldaps-certificate