LDAPS verwenden

Auf dieser Seite erfahren Sie, wie Sie LDAP über SSL/TLS (LDAPS) für Managed Service for Microsoft Active Directory (Managed Microsoft AD) aktivieren, um Ihren LDAP-Traffic vertraulich und sicher zu gestalten. Standardmäßig wird die Kommunikation zwischen Managed Microsoft AD und Clientanwendungen nicht auf einfache LDAP-Bindungen verschlüsselt.

Zum Aktivieren von LDAPS benötigen Sie ein Zertifikat. Auf dieser Seite werden auch die Spezifikationen für das erforderliche Zertifikat und seine Überprüfung und Überwachung beschrieben.

Zertifikat anfordern

Sie können ein Zertifikat von einer Public Certificate Authority (CA), einer Enterprise CA oder einem Google Cloud Certificate Authority Service anfordern oder ein selbst signiertes Zertifikat verwenden. Sie können ein selbst signiertes Zertifikat mit dem Befehl New-SelfSignedCertificate unter Windows, OpenSSL oder MakeCert erstellen.

Zertifikatsanforderungen

Ihr Zertifikat muss die folgenden Anforderungen erfüllen:

  • Betreffname:Es muss sich um den Namen mit dem Präfix Ihrer verwalteten Microsoft AD-Domain handeln, damit der Dienst während eines Upgrades oder einer Wiederherstellung weiterhin verfügbar ist. Das liegt daran, dass Domaincontroller zufällige Namen verwenden, die sich während eines Upgrades oder Wiederherstellung ändern. Wenn der Domainname beispielsweise ad.mycompany.com lautet, muss der Betreffname CN=*.ad.mycompany.com sein.

  • Alternativer Antragstellername (DNS-Name oder SAN): Er darf nur Folgendes enthalten:

    • Platzhaltername Ihrer Managed Microsoft AD-Domain
    • Managed Microsoft AD-Domainname.

    Beispiel: "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"

  • KeySpec: Sie muss auf &1 gesetzt werden, was bedeutet, dass er sowohl für die digitale Signatur als auch für den Schlüsselaustausch verwendet werden kann.

  • KeyLength:Die Mindestschlüsselgröße hängt vom kryptografischen Algorithmus ab.

    • RSA: mindestens 2.048 Bit
    • ECDSA: mindestens 256 Bit
    • ED25519:512 Bit (feste Länge)
  • Schlüsselverwendung: Sie muss die &digitale Signatur mit digitalen Signaturen enthalten

  • EnhancedKeyUsageExtension:Es muss OID=1.3.6.1.5.5.7.3.1 für die Server-Authentifizierung aufweisen.

  • NotBefore: Die Zeit, ab der das Zertifikat gültig ist. Das Zertifikat muss gültig sein, wenn LDAPS aktiviert wird.

  • NotAfter: Der Zeitraum, nach dem das Zertifikat ungültig ist. Das Zertifikat muss gültig sein, wenn LDAPS aktiviert wird.

  • Ausstellende Kette: Die gesamte Zertifikatskette muss hochgeladen werden und muss gültig sein. Die Kette muss linear sein und darf nicht mehrere Ketten haben.

  • Signaturalgorithmus:Schwache Signaturalgorithmen wie SHA-1, MD2 oder MD5 werden nicht unterstützt.

  • Zertifikatformat:Das Format muss den Public-Key-Kryptografiestandards (PKCS) #12 entsprechen. Sie müssen eine PFX-Datei verwenden.

Anfrage von einer öffentlichen oder Enterprise-CA

Wenn Sie ein Zertifikat von einer öffentlichen oder Enterprise-CA anfordern möchten, folgen Sie dieser Anleitung.

Akzeptieren Sie das Zertifikat auf der VM, auf der die Anfrage generiert wird.

Exportieren Sie das Zertifikat im PKCS #12-Format

So exportieren Sie das Zertifikat im PKCS #12-Format (als PFX-Datei):

  1. Gehen Sie unter Windows zu Ihren Zertifikaten in der Microsoft Management Console (MMC).

  2. Maximieren Sie Zertifikate für lokale Computer und gehen Sie zu Persönliche > Zertifikate.

  3. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie zum Aktivieren von LDAPS erstellt haben, und wählen Sie Alle Aufgaben > Export aus.

  4. Klicken Sie im Dialogfeld Assistent für den Zertifikatexport auf Weiter.

  5. Wählen Sie auf der Seite Privaten Schlüssel exportieren Ja aus, um den privaten Schlüssel zu exportieren.

  6. Klicke auf der Seite Dateiformat exportieren auf die Option Personal Information Exchange – PKCS #12 (.PFX) und wähle Alle Zertifikate in den Zertifizierungspfad einschließen, wenn möglich. Klicken Sie auf Weiter.

  7. Klicken Sie auf der Seite Sicherheit das Kästchen Passwort an und geben Sie ein starkes Passwort ein, um das Zertifikat zu schützen. Klicken Sie auf Weiter. Dieses Passwort ist erforderlich, wenn Sie LDAPS in Ihrer Managed Microsoft AD-Domain konfigurieren.

  8. Geben Sie auf der Seite Zu exportierende Datei den Zielnamen und den Pfad für die zu exportierende PFX-Datei ein. Klicken Sie auf Next.

  9. Klicken Sie auf Finish (Beenden).

Exportieren Sie die Ausstellerkette zu Clientcomputern.

Damit LDAPS funktioniert, müssen alle Clientcomputer dem Aussteller des LDAPS-Zertifikats vertrauen. Bei einer bekannten öffentlichen Zertifizierungsstelle können die Clientcomputer möglicherweise bereits der Ausstellerkette vertrauen. Wenn die Kette nicht vertrauenswürdig ist, führen Sie die folgenden Schritte aus, um die Ausstellerkette zu exportieren:

  1. Gehen Sie unter Windows zu Ihren Zertifikaten in der Microsoft Management Console (MMC).

  2. Maximieren Sie Zertifikate von lokalen Computern und gehen Sie zu Persönliche >Zertifikate. Doppelklicken Sie auf das LDAPS-Zertifikat.

  3. Klicken Sie im Fenster Zertifikat auf den Tab Zertifizierungspfad.

  4. Wählen Sie auf dem Tab Zertifizierungspfad das Stamm-Zertifikat im Pfad aus.

  5. Klicken Sie auf Zertifikat ansehen.

  6. Klicken Sie auf den Tab Details und dann auf In Datei kopieren....

  7. Wähle im Dialogfeld Assistent für den Zertifikatexport die Option Base-64-codiert X.509 aus und klicke auf Weiter.

  8. Wählen Sie den Dateinamen und den Speicherort der Zertifikatskette aus und klicken Sie auf Finish.

  9. Um das Zertifikat auf den Clientcomputer zu kopieren, der eine LDAPS-Verbindung herstellt, verwenden Sie das Dialogfeld Assistent für den Zertifikatimport, um das Zertifikat in den Speicher „Lokale Maschine“ zu importieren. Alternativ können Sie die Zertifikatskette der ausstellenden Behörden auf die Clientcomputer verteilen, die unter Windows Gruppenrichtlinien verwenden.

LDAPS in einer verwalteten Microsoft AD-Domain aktivieren

So aktivieren Sie LDAPS in Ihrer verwalteten Microsoft AD-Domain:

  1. Sorgen Sie dafür, dass Sie eine der folgenden IAM-Rollen haben:

    • Google Cloud Managed Identities-Administrator (roles/managedidentities.admin)
    • Google Cloud Managed Identities-Domainadministrator (roles/managedidentities.domainAdmin)

    Weitere Informationen zu verwalteten IAM-Rollen in Microsoft AD finden Sie unter Zugriffssteuerung.

  2. Führen Sie den folgenden gcloud-Befehlszeilenbefehl aus:

   gcloud active-directory domains update-ldaps-settings DOMAIN_NAME 
--certificate-pfx-file=PFX_FILENAME
--certificate-password=PASSWORD

Ersetzen Sie Folgendes:

  • DOMAIN_NAME: Der vollständige Ressourcenname Ihrer verwalteten Microsoft AD-Domain. Vollständiger Ressourcenname: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
  • PFX_FILENAME: Die PFX-Datei im PKCS #12-Format, die die Zertifikatskette angibt, die zur Konfiguration von LDAPS verwendet wird.
  • PASSWORD: Das Passwort, das zum Verschlüsseln des PKCS #12-Zertifikats verwendet wird. Wenn Sie es nicht angeben, werden Sie beim Ausführen des Befehls zur Eingabe des Passworts aufgefordert.

LDAPs bestätigen

Sie können überprüfen, ob LDAPS aktiviert ist, indem Sie eine LDAPS-Bindung ausführen. Dieser Prozess verwendet LDP.exe, eines der RSAT-Tools, die Sie installieren, wenn Sie eine VM mit der Domain verbinden.

Führen Sie in einer mit der Domain verbundenen Google Cloud Windows-VM die folgenden Schritte in PowerShell aus:

  1. Starten Sie in PowerShell LDP.exe und gehen Sie zu Verbindung > Connect.

  2. Führen Sie im Dialogfeld Verbinden die folgenden Schritte aus:

    1. Geben Sie in das Feld Server Ihren Domainnamen ein.
    2. Geben Sie in das Feld Port die Zahl 636 ein.
    3. Klicken Sie das Kästchen SSL an.
    4. Klicken Sie auf OK.

    Wenn LDAPS ordnungsgemäß aktiviert ist, ist die Verbindung erfolgreich.

Zertifikate überwachen

Sie können die Gültigkeitsdauer (Time to Live, TTL) für eine Zertifikatskette in Cloud Monitoring aufrufen. Der Messwert cert_ttl gibt die Anzahl der verbleibenden gültigen Tage für das Zertifikat in der Kette mit dem frühesten Ablauf an.

So rufen Sie mit dem Metrics Explorer die Messwerte für eine überwachte Ressource auf:

  1. Rufen Sie in der Google Cloud Console in Monitoring die Seite „Metrics Explorer“ auf.
  2. Zum Metrics Explorer

  3. Wählen Sie in der Symbolleiste den Tab Explorer aus.
  4. Wählen Sie den Tab Konfiguration aus.
  5. Maximieren Sie das Menü Messwert auswählen, geben Sie LDAPS Certificate TTL in die Filterleiste ein und wählen Sie dann über die Untermenüs einen bestimmten Ressourcentyp und Messwert aus:
    1. Wählen Sie im Menü Aktive Ressourcen die Option Microsoft Active Directory-Domain aus.
    2. Wählen Sie im Menü Aktive Messwertkategorien die Option Microsoft_ad aus.
    3. Wählen Sie im Menü Active Metrics (Aktive Messwerte) die Option LDAPS-Zertifikat (TTL) aus.
    4. Klicken Sie auf Anwenden.
  6. Optional: Konfigurieren Sie die Daten, fügen Sie Filter hinzu und verwenden Sie die Menüs Gruppieren nach, Aggregator und Diagrammtyp. Sie können beispielsweise nach Ressourcen- oder Messwertlabels gruppieren. Weitere Informationen finden Sie unter Messwerte bei Verwendung von Metrics Explorer auswählen.
  7. Optional: Ändern Sie die Diagrammeinstellungen:
    • Legen Sie für Kontingente und andere Messwerte, die eine Stichprobe pro Tag melden, den Zeitraum auf mindestens eine Woche fest und geben Sie als Darstellungstyp Übereinander angeordnetes Balkendiagramm an.
    • Stellen Sie für Verteilungsmesswerte die Darstellung auf Heatmap-Diagramm ein.

Sie können diese Messwerte auch mit dem Abfrageeditor ermitteln.

  1. Wählen Sie auf dem Tab Messwert die Option Abfrageeditor aus.

  2. Geben Sie im Textfeld des Abfrageeditors die folgende MQL-Abfrage ein und wählen Sie Run Query (Abfrage ausführen) aus.

    fetch microsoft_ad_domain
    | metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
    | group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
    | every 1m
    | group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]
    

LDAPS deaktivieren

Führen Sie den folgenden gcloud-Befehlszeilenbefehl aus, um LDAPS zu deaktivieren:

gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
     --clear-ldaps-certificate

Ersetzen Sie DOMAIN_NAME durch den vollständigen Ressourcennamen der verwalteten Microsoft AD-Domain. Vollständiger Ressourcenname: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.