Auf dieser Seite wird beschrieben, wie Sie LDAP über SSL/TLS (LDAPS) für Managed Service for Microsoft Active Directory (Managed Microsoft AD) aktivieren, um Ihren LDAP-Traffic vertraulich und sicher zu machen. Die Kommunikation zwischen Managed Microsoft AD und Clientanwendungen ist für einfache LDAP-Bindungen standardmäßig nicht verschlüsselt.
Damit Sie LDAPS aktivieren können, benötigen Sie ein Zertifikat. Auf dieser Seite werden auch die Spezifikationen für das erforderliche Zertifikat und dessen Überprüfung und Überwachung beschrieben.
Zertifikat anfordern
Sie können ein Zertifikat von einer Public Certificate Authority (CA), einer Enterprise CA, demGoogle Cloud Certificate Authority Service anfordern oder ein selbst signiertes Zertifikat verwenden. Wenn Sie ein selbst signiertes Zertifikat verwenden, folgen Sie der Microsoft-Dokumentation, die mit den PowerShell-Befehlen in den folgenden Abschnitten verknüpft ist.
Sie können ein selbst signiertes Zertifikat mit dem Befehl New-SelfSignedCertificate
unter Windows, OpenSSL oder MakeCert erstellen.
Zertifikatsanforderungen
Ihr Zertifikat muss die folgenden Anforderungen erfüllen:
- In der folgenden Tabelle sind die Anforderungen zum Erstellen eines selbst signierten Zertifikats sowie die zugehörigen Parameter aufgeführt, die im
New-SelfSignedCertificate
-Befehl verwendet werden. Die Parameter- oder Feldnamen können je nach Art der Zertifikaterstellung variieren.
Parameter | Beschreibung |
---|---|
Subject (Name des Themas) |
Es muss sich um den Namen Ihrer Managed Microsoft AD-Domain handeln, dem ein Platzhalter vorangestellt ist, damit der Dienst während eines Upgrades oder einer Wiederherstellung verfügbar bleibt. Das liegt daran, dass Domaincontroller zufällige Namen verwenden, die sich während eines Upgrades oder Wiederherstellungsprozesses ändern. Wenn der Domainname beispielsweise ad.mycompany.com lautet, muss der Inhabername CN=*.ad.mycompany.com lauten.
|
DnsName (DNS-Name oder alternativer Antragstellername) |
Es darf nur Folgendes enthalten:"CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
|
KeySpec |
Muss auf 1 gesetzt sein, was darauf hinweist, dass der Schlüssel sowohl für digitale Signaturen als auch für den Schlüsselaustausch verwendet werden kann.
|
KeyLength |
Die Mindestschlüsselgröße hängt vom kryptografischen Algorithmus ab. |
KeyUsage |
Sie muss "digitale Signaturen" und "key encipherment" enthalten. |
TextExtension oder EnhancedKeyUsageExtension |
Es muss OID=1.3.6.1.5.5.7.3.1 für die Serverauthentifizierung haben.
|
NotBefore |
Zeit, ab der das Zertifikat gültig ist. Das Zertifikat muss gültig sein, wenn LDAPS aktiviert wird. |
NotAfter |
Zeit, nach dem das Zertifikat ungültig ist. Das Zertifikat muss gültig sein, wenn LDAPS aktiviert wird. |
KeyAlgorithm (Signaturalgorithmus) |
Schwache Signaturalgorithmen wie SHA-1, MD2, MD5 werden nicht unterstützt. |
Ausstellungskette:Die gesamte Zertifikatskette muss hochgeladen werden und gültig sein. Die Kette muss linear sein und darf nicht mehrere Ketten haben.
Zertifikatsformat:Das Format muss den Public-Key Cryptography Standards (PKCS) Nr. 12 entsprechen. Sie müssen eine PFX-Datei verwenden.
Von einer öffentlichen oder Unternehmens-Zertifizierungsstelle anfordern
Folgen Sie dieser Anleitung, um ein Zertifikat von einer Public CA oder Unternehmens-Zertifizierungsstelle anzufordern.
Akzeptieren Sie das Zertifikat auf derselben VM, auf der die Anfrage generiert wird.
Zertifikat im PKCS #12-Format exportieren
So exportieren Sie das Zertifikat im PKCS #12-Format (als PFX-Datei):
Rufen Sie in Windows Ihre Zertifikate in der Microsoft Management Console (MMC) auf.
Maximieren Sie Lokale Computerzertifikate und gehen Sie dann zu Persönliche > Zertifikate.
Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie zum Aktivieren von LDAPS erstellt haben, und wählen Sie Alle Aufgaben > Exportieren aus.
Klicken Sie im angezeigten Dialogfeld Assistent für den Zertifikatexport auf Weiter.
Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Ja aus, um den privaten Schlüssel zu exportieren.
Wählen Sie auf der Seite Dateiformat exportieren die Option Austausch personenbezogener Daten – PKCS #12 (.PFX) und das Kästchen Fügen Sie nach Möglichkeit alle Zertifikate in den Zertifizierungspfad ein aus. Klicken Sie auf Weiter.
Wählen Sie auf der Seite Sicherheit das Kästchen Passwort aus und geben Sie ein starkes Passwort ein, um das Zertifikat zu schützen. Klicken Sie auf Weiter. Dieses Passwort ist erforderlich, wenn Sie LDAPS in Ihrer Managed Microsoft AD-Domain konfigurieren.
Geben Sie auf der Seite Zu exportierende Datei den Zielnamen und -pfad für die zu exportierende PFX-Datei ein. Klicken Sie auf Weiter.
Klicken Sie auf Beenden.
Wenn Sie ein selbst signiertes Zertifikat mit dem privaten Schlüssel im PKCS #12-Format als PFX-Datei exportieren möchten, verwenden Sie den Export-PfxCertificate
-Befehl. Wenn Sie das selbst signierte Zertifikat als PEM-Datei exportieren möchten, verwenden Sie den Export-Certificate
-Befehl.
Ausstellerkette auf Clientcomputer verteilen
Damit LDAPS funktioniert, müssen alle Clientcomputer dem Aussteller des LDAPS-Zertifikats vertrauen. Bei einer bekannten Public CA können die Clientcomputer möglicherweise bereits der Ausstellerkette vertrauen. Wenn die Kette nicht vertrauenswürdig ist, führen Sie die folgenden Schritte aus, um die Ausstellerkette zu exportieren:
Rufen Sie in Windows Ihre Zertifikate in der Microsoft Management Console (MMC) auf.
Maximieren Sie Lokale Computerzertifikate und gehen Sie dann zu Persönliche > Zertifikate. Doppelklicken Sie auf das LDAPS-Zertifikat.
Klicken Sie im Fenster Zertifikat auf den Tab Zertifizierungspfad.
Wählen Sie auf dem Tab Zertifizierungspfad das Stamm-Zertifikat im Pfad aus.
Klicken Sie auf Zertifikat ansehen.
Klicken Sie auf den Tab Details und dann auf In Datei kopieren...
Wählen Sie im angezeigten Dialogfeld Zertifikatsexport-Assistent die Option Base-64-codiert X.509 aus und klicken Sie auf Weiter.
Wählen Sie den Dateinamen und den Speicherort für die Zertifikatskette aus und klicken Sie auf Fertigstellen.
Kopieren Sie das Zertifikat mit dem Zertifikatsimportassistenten auf den Clientcomputer, der die LDAPS-Verbindung herstellt, in den Speicher „Lokaler Computer“. Alternativ können Sie die Zertifikatskette der ausstellenden Zertifizierungsstellen mit Gruppenrichtlinien in Windows an die Clientcomputer verteilen.
Verwenden Sie den Befehl Import-Certificate
, um ein selbst signiertes Zertifikat in den vertrauenswürdigen Root-Speicher des lokalen Computers zu importieren.
LDAPS in einer Managed Microsoft AD-Domain aktivieren
Führen Sie vor dem Aktivieren von LDAPS in Ihrer Managed Microsoft AD-Domain die folgenden Schritte aus:
Prüfen Sie, ob Sie eine der folgenden IAM-Rollen haben:
- Google Cloud Administrator für verwaltete Identitäten (
roles/managedidentities.admin
) - Google Cloud Managed Identities-Domainadministrator
(
roles/managedidentities.domainAdmin
)
Weitere Informationen zu Managed Microsoft AD-IAM-Rollen finden Sie unter Zugriffssteuerung.
- Google Cloud Administrator für verwaltete Identitäten (
Führen Sie die folgenden Schritte aus, um LDAPS in Ihrer Managed Microsoft AD-Domain zu aktivieren:
Console
- Rufen Sie in der Google Cloud Console die Seite Managed Microsoft AD auf.
Zu Managed Microsoft AD - Wählen Sie auf der Seite Domains (Domains) eine Domain aus der Liste der Instanzen aus, um LDAPS zu aktivieren.
- Klicken Sie auf der Seite Domaindetails im Bereich LDAPS auf LDAPS konfigurieren.
- Geben Sie im Bereich LDAPS konfigurieren den Speicherort der PFX-Datei und das Passwort ein, das Sie beim Exportieren des Zertifikats im PKCS #12-Format verwendet haben. Klicken Sie dann auf LDAPS konfigurieren.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \ --certificate-pfx-file=PFX_FILENAME \ --certificate-password=PASSWORD
Ersetzen Sie Folgendes:
- DOMAIN_NAME: Der vollständige Ressourcenname Ihrer Managed Microsoft AD-Domain. Format des vollständigen Ressourcennamens:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME
. - PFX_FILENAME: Die PFX-Datei im PKCS #12-Format, die die Zertifikatskette für die Konfiguration von LDAPS angibt.
- PASSWORD: Das Passwort, das zum Verschlüsseln des PKCS #12-Zertifikats verwendet wird. Wenn Sie das Passwort nicht angeben, werden Sie beim Ausführen des Befehls dazu aufgefordert.
Dieser Vorgang kann bis zu 20 Minuten dauern. Wiederholen Sie diese Schritte mit der aktualisierten PFX-Datei, um das Zertifikat zu aktualisieren.
LDAPS überprüfen
Sie können prüfen, ob LDAPS aktiviert ist. Führen Sie dazu eine LDAPS-Bindung durch. Bei diesem Vorgang wird LDP.exe
verwendet, eines der RSAT-Tools, die Sie installieren, wenn Sie eine VM mit einer Domain verknüpfen.
Führen Sie auf einer mit einer Domain verbundenen Google Cloud Windows-VM die folgenden Schritte in PowerShell aus:
Starten Sie
LDP.exe
in PowerShell und gehen Sie dann zu Verbindung > Verbinden.Führen Sie im Dialogfeld Verbinden die folgenden Schritte aus:
- Geben Sie im Feld Server Ihren Domainnamen ein.
- Geben Sie in das Feld Port die Zahl
636
ein. - Klicken Sie das Kästchen SSL an.
- Klicken Sie auf OK.
Wenn LDAPS ordnungsgemäß aktiviert ist, ist die Verbindung erfolgreich.
Zertifikat überwachen
Sie können die Gültigkeitsdauer (Time to Live, TTL) für eine Zertifikatskette in Cloud Monitoring aufrufen. Der Messwert cert_ttl
gibt die Anzahl der verbleibenden gültigen Tage für das Zertifikat in der Kette mit dem frühesten Ablauf an.
Console
So rufen Sie mit dem Metrics Explorer die Messwerte für eine überwachte Ressource auf:
-
Rufen Sie in der Google Cloud Console die Seite leaderboard Metrics Explorer auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- Wählen Sie in der Symbolleiste der Google Cloud Console Ihr Google Cloud -Projekt aus. Wählen Sie für App Hub-Konfigurationen das App Hub-Hostprojekt oder das Verwaltungsprojekt des für Apps aktivierten Ordners aus.
- Maximieren Sie im Element Messwert das Menü Messwert auswählen, geben Sie
LDAPS Certificate TTL
in die Filterleiste ein und wählen Sie dann über die Untermenüs einen bestimmten Ressourcentyp und Messwert aus:- Wählen Sie im Menü Aktive Ressourcen die Option Microsoft Active Directory-Domain aus.
- Wählen Sie im Menü Aktive Messwertkategorien die Option Microsoft_ad aus.
- Wählen Sie im Menü Aktive Messwerte die Option LDAPS-Zertifikat-TTL aus.
- Klicken Sie auf Übernehmen.
Verwenden Sie das Element Filter, um Filter hinzuzufügen, mit denen Zeitreihen aus den Abfrageergebnissen entfernt werden.
Verwenden Sie zum Kombinieren von Zeitreihen die Menüs im Element Aggregation. Wenn Sie beispielsweise die CPU-Auslastung für Ihre VMs basierend auf ihrer Zone anzeigen möchten, legen Sie das erste Menü auf Mittelwert und das zweite Menü auf Zone fest.
Alle Zeitreihen werden angezeigt, wenn das erste Menü des Elements Aggregation auf Nicht aggregiert gesetzt ist. Die Standardeinstellungen für das Element Aggregation werden durch den ausgewählten Messwerttyp bestimmt.
- Gehen Sie für Kontingente und andere Messwerte, die eine Stichprobe pro Tag melden, so vor:
- Legen Sie im Bereich Anzeige den Widget-Typ auf Gestapeltes Balkendiagramm fest.
- Legen Sie als Zeitraum mindestens eine Woche fest.
Sie können auch im Bereich LDAPS auf der Seite Domaindetails auf Monitoring klicken, um zum Metrics Explorer zu gelangen.
Sie können diese Messwerte auch mit dem Abfrageeditor ermitteln.
Wählen Sie auf dem Tab Messwert die Option Abfrageeditor aus.
Geben Sie im Textfeld des Abfrageeditors die folgende MQL-Abfrage ein und wählen Sie Abfrage ausführen aus.
fetch microsoft_ad_domain | metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl' | group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)] | every 1m | group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]
LDAPS deaktivieren
Führen Sie die folgenden Schritte aus, um LDAPS zu deaktivieren:
Console
- Rufen Sie in der Google Cloud Console die Seite Managed Microsoft AD auf.
Zu Managed Microsoft AD - Wählen Sie auf der Seite Domains in der Liste der Instanzen die Domain aus, für die Sie das Zertifikat deaktivieren möchten.
- Klicken Sie auf der Seite Domaindetails im Bereich LDAPS auf Deaktivieren.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \ --clear-ldaps-certificate
Ersetzen Sie DOMAIN_NAME durch den vollständigen Ressourcennamen Ihrer Managed Microsoft AD-Domain. Format des vollständigen Ressourcennamens:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME
.
Dieser Vorgang kann bis zu 20 Minuten dauern. Sie müssen die Zertifikate noch einmal hochladen, um LDAPS wieder zu aktivieren.