Auf dieser Seite erfahren Sie, wie Sie LDAP über SSL/TLS (LDAPS) für Managed Service for Microsoft Active Directory (Managed Microsoft AD) aktivieren, um Ihren LDAP-Traffic vertraulich und sicher zu machen. Von ist die Kommunikation zwischen Managed Microsoft AD und Client Anwendungen sind für einfache LDAP-Bindungen nicht verschlüsselt.
Zum Aktivieren von LDAPS benötigen Sie ein Zertifikat. Auf dieser Seite wird auch die Anforderungen für das erforderliche Zertifikat sowie dessen Überprüfung und Monitoring.
Zertifikat anfordern
Sie können ein Zertifikat von einer öffentlichen Zertifizierungsstelle (Public Certificate Authority, CA), Google Cloud Certificate Authority Service oder verwenden Sie eine ein selbst signiertes Zertifikat. Wenn Sie ein selbst signiertes Zertifikat verwenden, folgen Sie der Hier finden Sie einen Link zu den PowerShell-Befehlen in der Microsoft-Dokumentation. .
Sie können ein selbst signiertes Zertifikat mit dem Befehl New-SelfSignedCertificate
unter Windows, OpenSSL oder MakeCert erstellen.
Zertifikatsanforderungen
Ihr Zertifikat muss die folgenden Anforderungen erfüllen:
- In der folgenden Tabelle sind die Anforderungen zum Erstellen einer selbst signierten
Zertifikat und listet die zugehörigen Parameter auf, die im
New-SelfSignedCertificate
. Die Parameter- oder Feldnamen können je nach Erstellung des Zertifikats variieren.
Parameter | Beschreibung |
---|---|
Subject (Betreff) |
Es muss sich um den Namen Ihrer Managed Microsoft AD-Domain handeln, dem ein Platzhalter vorangestellt ist, damit der Dienst während eines Upgrades oder einer Wiederherstellung verfügbar bleibt. Das liegt daran, dass Domaincontroller zufällige Namen verwenden, die sich während eines Upgrades oder einer Wiederherstellung ändern. Wenn der Domainname beispielsweise ad.mycompany.com lautet, muss der Inhabername CN=*.ad.mycompany.com lauten.
|
DnsName (DNS-Name oder alternativer Antragstellername) |
Er darf nur Folgendes enthalten:"CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
|
KeySpec |
Es muss auf 1 gesetzt sein, was bedeutet, dass es verwendet werden kann für
digitale Signatur und Schlüsselaustausch.
|
KeyLength |
Die Mindestschlüsselgröße hängt vom kryptografischen Algorithmus ab. |
KeyUsage |
Sie muss "digitale Signaturen" und "key encipherment" enthalten. |
TextExtension oder EnhancedKeyUsageExtension |
Es muss OID=1.3.6.1.5.5.7.3.1 für die Serverauthentifizierung haben.
|
NotBefore |
Zeit, ab der das Zertifikat gültig ist. Das Zertifikat muss beim Aktivieren von LDAPS gültig sein. |
NotAfter |
Zeit, nach dem das Zertifikat ungültig ist. Das Zertifikat muss gültig sein, wenn LDAPS aktiviert wird. |
KeyAlgorithm (Signaturalgorithmus) |
Schwache Signaturalgorithmen wie SHA-1, MD2 und MD5 werden nicht unterstützt. |
Ausstellende Kette: Die gesamte Zertifikatskette muss hochgeladen werden und gültig sein. Die Kette muss linear sein und darf nicht mehrere Ketten haben.
Zertifikatsformat:Das Format muss der Public-Key-Kryptografie entsprechen Standards (PKCS) Nr. 12. Sie müssen eine PFX-Datei verwenden.
Anfrage von einer öffentlichen oder Enterprise-Zertifizierungsstelle
So fordern Sie ein Zertifikat von einer Public CA oder Enterprise-Zertifizierungsstelle an: folgen Sie diesen Schritte.
Akzeptieren Sie das Zertifikat auf derselben VM, auf der die Anfrage generiert wird.
Exportieren Sie das Zertifikat im PKCS #12-Format
Um das Zertifikat im PKCS #12-Format (als PFX-Datei) zu exportieren, füllen Sie die folgenden Schritten:
Navigieren Sie unter Windows zu Ihren Zertifikaten in der Microsoft Management- Konsole (MMC).
Maximieren Sie Lokale Computerzertifikate und gehen Sie dann zu Persönliche > Zertifikate.
Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie zum Aktivieren von LDAPS erstellt haben, und wählen Sie Alle Aufgaben > Exportieren aus.
Klicken Sie im Dialogfeld Assistent für den Zertifikatexport auf Weiter.
Wählen Sie auf der Seite Privaten Schlüssel exportieren Ja aus, um den privaten Schlüssel zu exportieren.
Wählen Sie auf der Seite Export File Format (Dateiformat exportieren) die Option Personal Information Exchange – PKCS #12 (.PFX) und Alle Zertifikate im Zertifizierungspfad angeben wenn möglich. Klicken Sie auf Weiter.
Klicken Sie auf der Seite Sicherheit das Kästchen Passwort an und geben Sie ein starkes Passwort ein, um das Zertifikat zu schützen. Klicken Sie auf Weiter. Dieses Passwort ist erforderlich, wenn Sie LDAPS in Ihrer Managed Microsoft AD-Domain konfigurieren.
Geben Sie auf der Seite Zu exportierende Datei den Zielnamen und -pfad für die zu exportierende PFX-Datei ein. Klicken Sie auf Next.
Klicken Sie auf Beenden.
Wenn Sie ein selbst signiertes Zertifikat mit dem privaten Schlüssel im PKCS #12-Format als PFX-Datei exportieren möchten, verwenden Sie den Befehl Export-PfxCertificate
. Wenn Sie das selbst signierte Zertifikat als PEM-Datei exportieren möchten, verwenden Sie den Befehl Export-Certificate
.
Ausstellerkette auf Clientcomputer verteilen
Damit LDAPS funktioniert, müssen alle Clientcomputer dem Aussteller des LDAPS-Zertifikats vertrauen. Bei einer bekannten öffentlichen Zertifizierungsstelle können die Clientcomputer möglicherweise bereits der Ausstellerkette vertrauen. Wenn die Kette nicht vertrauenswürdig ist, füllen Sie das Gehen Sie so vor, um die Ausstellerkette zu exportieren:
Navigieren Sie unter Windows zu Ihren Zertifikaten in der Microsoft Management- Konsole (MMC).
Maximieren Sie Lokale Computerzertifikate und gehen Sie zu Nutzer > Zertifikate. Doppelklicken Sie auf das LDAPS-Zertifikat.
Klicken Sie im Fenster Zertifikat auf den Tab Zertifizierungspfad.
Wählen Sie auf dem Tab Zertifizierungspfad das Stamm-Zertifikat im Pfad aus.
Klicken Sie auf Zertifikat ansehen.
Klicken Sie auf den Tab Details und dann auf In Datei kopieren....
Wählen Sie im angezeigten Dialogfeld Zertifikatsexport-Assistent die Option Base-64 aus. codierten X.509-String und klicken Sie auf Weiter.
Wählen Sie den Dateinamen und den Speicherort für die Zertifikatskette aus und klicken Sie auf Fertigstellen.
Kopieren Sie das Zertifikat mit dem Dialogfeld Zertifikatsimportassistent auf den Clientcomputer, der die LDAPS-Verbindung herstellt, in den Speicher „Lokaler Computer“. Alternativ können Sie die Zertifikatskette ausstellende Stellen zu den Clientcomputern mit Gruppe Richtlinien in Windows.
So importieren Sie ein selbst signiertes Zertifikat in den vertrauenswürdigen Root-Speicher des lokalen
verwenden Sie den Import-Certificate
.
LDAPS in einer Managed Microsoft AD-Domain aktivieren
Bevor Sie LDAPS in Ihrer Managed Microsoft AD-Domain aktivieren, müssen Sie Folgendes tun:
Sie benötigen eine der folgenden IAM-Rollen:
- Google Cloud Managed Identities-Administrator (
roles/managedidentities.admin
) - Google Cloud Managed Identities-Domainadministrator
(
roles/managedidentities.domainAdmin
)
Weitere Informationen zu Managed Microsoft AD IAM-Rollen Siehe Zugriffssteuerung.
- Google Cloud Managed Identities-Administrator (
Führen Sie die folgenden Schritte aus, um LDAPS in Ihrer Managed Microsoft AD-Domain zu aktivieren Schritte:
Console
- Rufen Sie in der Google Cloud Console Managed Microsoft AD auf.
Seite.
Verwaltetes Microsoft AD aufrufen - Wählen Sie auf der Seite Domains eine Domain aus der Liste der Instanzen aus, um LDAPS zu aktivieren.
- Klicken Sie auf der Seite Domaindetails im Abschnitt LDAPS auf LDAPS konfigurieren
- Geben Sie im Bereich LDAPS konfigurieren den Speicherort der PFX-Datei ein und das Passwort, mit dem Sie das Zertifikat in PKCS #12 exportiert haben Format und Klicken Sie dann auf LDAPS konfigurieren.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \ --certificate-pfx-file=PFX_FILENAME \ --certificate-password=PASSWORD
Ersetzen Sie Folgendes:
- DOMAIN_NAME: Der vollständige Ressourcenname Ihrer Managed Microsoft AD-Domain. Format des vollständigen Ressourcennamens:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME
. - PFX_FILENAME: Die PKCS #12-formatierte PFX-Datei, die angibt, Die Zertifikatskette, mit der LDAPS konfiguriert wird.
- PASSWORD: Das Passwort, mit dem das PKCS #12-Zertifikat verschlüsselt wurde. Wenn Sie das Passwort nicht angeben, werden Sie beim Ausführen des Befehls aufgefordert, es einzugeben.
Dieser Vorgang kann bis zu 20 Minuten dauern. So aktualisieren Sie das Zertifikat: wiederholen Sie diese Schritte mit der aktualisierten PFX-Datei.
LDAPS bestätigen
Sie können überprüfen, ob LDAPS aktiviert ist, indem Sie eine LDAPS-Bindung ausführen. Dieser Prozess
verwendet LDP.exe
, eines der RSATs
Tools
die Sie installieren, wenn Sie eine VM
mit einer Domain verbinden.
Führen Sie auf einer mit einer Domain verbundenen Google Cloud Windows-VM die folgenden Schritte in PowerShell aus:
Starten Sie
LDP.exe
in PowerShell und gehen Sie zu Verbindung > Verbinden.Führen Sie im Dialogfeld Verbinden die folgenden Schritte aus:
- Geben Sie im Feld Server Ihren Domainnamen ein.
- Geben Sie in das Feld Port die Zahl
636
ein. - Klicken Sie das Kästchen SSL an.
- Klicken Sie auf OK.
Wenn LDAPS ordnungsgemäß aktiviert ist, ist die Verbindung erfolgreich.
Zertifikat überwachen
Sie können die Gültigkeitsdauer (Time to Live, TTL) für eine Zertifikatskette in Cloud Monitoring aufrufen. Der Messwert cert_ttl
gibt die Anzahl der verbleibenden gültigen Tage für das Zertifikat in der Kette mit dem frühesten Ablauf an.
Console
So rufen Sie mit dem Metrics Explorer die Messwerte für eine überwachte Ressource auf:
-
Rufen Sie in der Google Cloud Console die Seite leaderboard Metrics Explorer auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- Maximieren Sie im Element Messwert das Menü Messwert auswählen, geben Sie
LDAPS Certificate TTL
in die Filterleiste ein und wählen Sie dann über die Untermenüs einen bestimmten Ressourcentyp und Messwert aus:- Wählen Sie im Menü Aktive Ressourcen die Option Microsoft Active Directory-Domain aus.
- Wählen Sie im Menü Aktive Messwertkategorien die Option Microsoft_ad aus.
- Wählen Sie im Menü Aktive Messwerte die Option LDAPS-Zertifikat-TTL aus.
- Klicken Sie auf Anwenden.
Verwenden Sie das Element Filter, um Zeitreihen aus der Anzeige zu entfernen.
Verwenden Sie zum Kombinieren von Zeitreihen die Menüs im Element Aggregation. Wenn Sie beispielsweise die CPU-Auslastung für Ihre VMs basierend auf ihrer Zone anzeigen möchten, legen Sie das erste Menü auf Mittelwert und das zweite Menü auf Zone fest.
Alle Zeitreihen werden angezeigt, wenn das erste Menü des Elements Aggregation auf Nicht aggregiert gesetzt ist. Die Standardeinstellungen für das Element Aggregation werden durch den ausgewählten Messwerttyp bestimmt.
- Gehen Sie für Kontingente und andere Messwerte, die eine Stichprobe pro Tag melden, so vor:
- Legen Sie im Bereich Anzeige den Widget-Typ auf Gestapeltes Balkendiagramm fest.
- Legen Sie als Zeitraum mindestens eine Woche fest.
Sie können auch im Abschnitt LDAPS von Domain auf Monitoring klicken. Details, um zum Metrics Explorer zu gelangen.
Sie können diese Messwerte auch mit dem Abfrageeditor ermitteln.
Wählen Sie auf dem Tab Messwert die Option Abfrageeditor aus.
Geben Sie im Textfeld des Abfrageeditors die folgende MQL-Abfrage ein und wählen Sie dann Abfrage ausführen aus.
fetch microsoft_ad_domain | metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl' | group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)] | every 1m | group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]
LDAPS deaktivieren
Führen Sie die folgenden Schritte aus, um LDAPS zu deaktivieren:
Console
- Öffnen Sie in der Google Cloud Console die Seite Managed Microsoft AD.
Verwaltetes Microsoft AD aufrufen - Wählen Sie auf der Seite Domains die Domain aus der Liste der Instanzen aus. für die Sie das Zertifikat deaktivieren möchten.
- Klicken Sie auf der Seite Domaindetails im Abschnitt LDAPS auf Deaktivieren:
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \ --clear-ldaps-certificate
Ersetzen Sie DOMAIN_NAME durch die vollständige Ressource
Name Ihres Managed Microsoft AD
. Format des vollständigen Ressourcennamens:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME
.
Dieser Vorgang kann bis zu 20 Minuten dauern. Um LDAPS wieder zu aktivieren, müssen Sie müssen die Zertifikate noch einmal hochladen.