LDAPS aktivieren

Auf dieser Seite erfahren Sie, wie Sie LDAP über SSL/TLS (LDAPS) für Managed Service for Microsoft Active Directory (Managed Microsoft AD) aktivieren, um Ihren LDAP-Traffic vertraulich und sicher zu machen. Standardmäßig wird die Kommunikation zwischen Managed Microsoft AD und Clientanwendungen für einfache LDAP-Bindungen nicht verschlüsselt.

Zum Aktivieren von LDAPS benötigen Sie ein Zertifikat. Auf dieser Seite werden auch die Spezifikationen für das erforderliche Zertifikat sowie dessen Verifizierung und Überwachung beschrieben.

Zertifikat anfordern

Sie können ein Zertifikat von einer öffentlichen Zertifizierungsstelle (Public Certificate Authority, CA), einer Enterprise-Zertifizierungsstelle oder dem Certificate Authority Service von Google Cloud anfordern oder ein selbst signiertes Zertifikat verwenden. Wenn Sie ein selbst signiertes Zertifikat verwenden, folgen Sie der Microsoft-Dokumentation, die in den folgenden Abschnitten mit den PowerShell-Befehlen verknüpft ist.

Unter Windows, OpenSSL oder MakeCert können Sie mit dem Befehl New-SelfSignedCertificate ein selbst signiertes Zertifikat erstellen.

Zertifikatsanforderungen

Ihr Zertifikat muss die folgenden Anforderungen erfüllen:

  • In der folgenden Tabelle sind die Anforderungen zum Erstellen eines selbst signierten Zertifikats aufgeführt. Außerdem sind die zugehörigen Parameter aufgeführt, die im Befehl New-SelfSignedCertificate verwendet werden. Die Parameter- oder Feldnamen können je nach Erstellung des Zertifikats variieren.
Parameter Beschreibung
Subject (Betreff) Es muss der Name mit einem Platzhalter-Präfix für Ihre Managed Microsoft AD-Domain sein, damit der Dienst während eines Upgrade- oder Wiederherstellungsprozesses verfügbar bleibt. Dies liegt daran, dass Domaincontroller zufällige Namen verwenden, die sich während eines Upgrade- oder Wiederherstellungsprozesses ändern. Wenn der Domainname beispielsweise ad.mycompany.com lautet, muss der Antragstellername CN=*.ad.mycompany.com sein.
DnsName (DNS-Name oder alternativer Antragstellername) Er darf nur Folgendes enthalten:
  • Platzhaltername Ihrer Managed Microsoft AD-Domain
  • Verwalteter Microsoft AD-Domainname
    • Beispiel: "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
    KeySpec Er muss auf 1 gesetzt sein, um anzugeben, dass er sowohl für die digitale Signatur als auch für den Schlüsselaustausch verwendet werden kann.
    KeyLength Die Mindestschlüsselgröße hängt vom kryptografischen Algorithmus ab.
  • RSA:mindestens 2.048 Bit
  • ECDSA::mindestens 256 Bit
  • ED25519:512 Bit (feste Länge)
    		•
    KeyUsage Sie muss "digitale Signaturen" und "key encipherment" enthalten.
    TextExtension oder EnhancedKeyUsageExtension Für die Serverauthentifizierung muss OID=1.3.6.1.5.5.7.3.1 lauten.
    NotBefore Zeit, ab der das Zertifikat gültig ist. Das Zertifikat muss beim Aktivieren von LDAPS gültig sein.
    NotAfter Zeit, nach dem das Zertifikat ungültig ist. Das Zertifikat muss beim Aktivieren von LDAPS gültig sein.
    KeyAlgorithm (Signaturalgorithmus) Schwache Signaturalgorithmen wie SHA-1, MD2 und MD5 werden nicht unterstützt.

    • Ausstellungskette: Die gesamte Zertifikatskette muss hochgeladen werden und muss gültig sein. Die Kette muss linear sein und darf nicht mehrere Ketten haben.

    • Zertifikatformat:Das Format muss den Public-Key-Kryptografiestandards (PKCS) Nr. 12 entsprechen. Sie müssen eine PFX-Datei verwenden.

    Anfrage von einer Public CA oder Unternehmens-Zertifizierungsstelle

    Führen Sie diese Schritte aus, um ein Zertifikat von einer Public CA oder Unternehmens-CA anzufordern.

    Akzeptieren Sie das Zertifikat auf der VM, auf der die Anfrage generiert wird.

    Exportieren Sie das Zertifikat im PKCS #12-Format

    So exportieren Sie das Zertifikat im PKCS #12-Format (als PFX-Datei):

    1. Gehen Sie unter Windows zu Ihren Zertifikaten in der Microsoft Management Console (MMC).

    2. Maximieren Sie Lokale Computerzertifikate und gehen Sie zu Persönlich > Zertifikate.

    3. Klicken Sie mit der rechten Maustaste auf das von Ihnen erstellte Zertifikat, um LDAPS zu aktivieren, und wählen Sie Alle Tasks > Exportieren aus.

    4. Klicken Sie im Dialogfeld Assistent für den Zertifikatexport auf Weiter.

    5. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Ja aus, um den privaten Schlüssel zu exportieren.

    6. Klicken Sie auf der Seite Export File Format (Dateiformat exportieren) die Kästchen Personal Information Exchange – PKCS #12 (.PFX) (Austausch personenbezogener Informationen – PKCS #12 (.PFX)) und Include all certificate in the Certification path (Alle Zertifikate in den Zertifizierungspfad aufnehmen, wenn möglich) an. Klicken Sie auf Weiter.

    7. Klicken Sie auf der Seite Sicherheit das Kästchen Passwort an und geben Sie ein starkes Passwort ein, um das Zertifikat zu schützen. Klicken Sie auf Weiter. Dieses Passwort ist erforderlich, wenn Sie LDAPS in Ihrer Managed Microsoft AD-Domain konfigurieren.

    8. Geben Sie auf der Seite Zu exportierende Datei den Zielnamen und den Pfad für die zu exportierende PFX-Datei ein. Klicken Sie auf Next.

    9. Klicken Sie auf Finish (Beenden).

    Verwenden Sie den Befehl Export-PfxCertificate, um ein selbst signiertes Zertifikat mit dem privaten Schlüssel im PKCS #12-Format als PFX-Datei zu exportieren. Verwenden Sie den Befehl Export-Certificate, um das selbst signierte Zertifikat als PEM-Datei zu exportieren.

    Ausstellerkette auf Clientcomputer verteilen

    Damit LDAPS funktioniert, müssen alle Clientcomputer dem Aussteller des LDAPS-Zertifikats vertrauen. Bei einer bekannten Public CA vertrauen die Clientcomputer möglicherweise bereits der Ausstellerkette. Wenn die Kette nicht vertrauenswürdig ist, führen Sie die folgenden Schritte aus, um die Ausstellerkette zu exportieren:

    1. Gehen Sie unter Windows zu Ihren Zertifikaten in der Microsoft Management Console (MMC).

    2. Maximieren Sie Lokale Computerzertifikate und gehen Sie zu Persönlich > Zertifikate. Doppelklicken Sie auf das LDAPS-Zertifikat.

    3. Klicken Sie im Fenster Zertifikat auf den Tab Zertifizierungspfad.

    4. Wählen Sie auf dem Tab Zertifizierungspfad das Stamm-Zertifikat im Pfad aus.

    5. Klicken Sie auf Zertifikat ansehen.

    6. Klicken Sie auf den Tab Details und dann auf In Datei kopieren...

    7. Wählen Sie im Dialogfeld Assistent für den Zertifikatexport die Option Base-64-codiert X.509 aus und klicken Sie auf Weiter.

    8. Wählen Sie den Dateinamen und den Speicherort für die Zertifikatskette aus und klicken Sie auf Fertigstellen.

    9. Verwenden Sie das Dialogfeld Assistent für den Zertifikatimport, um das Zertifikat auf den Clientcomputer zu kopieren, auf dem die LDAPS-Verbindung hergestellt wird, um das Zertifikat in den Speicher „Lokaler Computer“ zu importieren. Alternativ können Sie die Zertifikatskette der ausstellenden Zertifizierungsstellen mithilfe von Gruppenrichtlinien an die Clientcomputer verteilen.

    Verwenden Sie den Befehl Import-Certificate, um ein selbst signiertes Zertifikat in den vertrauenswürdigen Stammspeicher des lokalen Computers zu importieren.

    LDAPS in einer verwalteten Microsoft AD-Domain aktivieren

    Bevor Sie LDAPS in Ihrer Managed Microsoft AD-Domain aktivieren, müssen Sie Folgendes tun:

    1. Prüfen Sie, ob Sie eine der folgenden IAM-Rollen haben:

      • Google Cloud Managed Ididentity-Administrator (roles/managedidentities.admin)
      • Google Cloud Managed IdEntities Domain Admin (roles/managedidentities.domainAdmin)

      Weitere Informationen zu verwalteten Microsoft AD-IAM-Rollen finden Sie unter Zugriffssteuerung.

    Führen Sie die folgenden Schritte aus, um LDAPS in Ihrer Managed Microsoft AD-Domain zu aktivieren:

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Managed Microsoft AD auf.
      Zu Managed Microsoft AD
    2. Wählen Sie auf der Seite Domains eine Domain aus der Liste der Instanzen aus, um LDAPS zu aktivieren.
    3. Klicken Sie auf der Seite Domaindetails im Abschnitt LDAPS auf LDAPS konfigurieren.
    4. Geben Sie im Bereich LDAPS konfigurieren den Speicherort der PFX-Datei und das Passwort ein, mit dem Sie das Zertifikat im PKCS #12-Format exportiert haben, und klicken Sie dann auf LDAPS konfigurieren.

    gcloud

    Führen Sie den folgenden gcloud CLI-Befehl aus:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    Ersetzen Sie Folgendes:

    • DOMAIN_NAME: Der vollständige Ressourcenname Ihrer Managed Microsoft AD-Domain. Format des vollständigen Ressourcennamens: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
    • PFX_FILENAME: Die PFX-Datei im PKCS #12-Format, die die Zertifikatskette für die Konfiguration von LDAPS angibt.
    • PASSWORD: Das Passwort, das zum Verschlüsseln des PKCS #12-Zertifikats verwendet wird. Wenn Sie kein Passwort angeben, werden Sie beim Ausführen des Befehls zur Eingabe des Passworts aufgefordert.

    Dieser Vorgang kann bis zu 20 Minuten dauern. Wiederholen Sie diese Schritte mit der aktualisierten PFX-Datei, um das Zertifikat zu aktualisieren.

    LDAPS bestätigen

    Sie können überprüfen, ob LDAPS aktiviert ist, indem Sie eine LDAPS-Bindung ausführen. Für diesen Prozess wird LDP.exe verwendet. Dabei handelt es sich um eines der RSAT-Tools, das Sie installieren, wenn Sie einer Domain eine VM hinzufügen.

    Führen Sie auf einer in die Domain eingebundenen Google Cloud Windows-VM die folgenden Schritte in PowerShell aus:

    1. Starten Sie in PowerShell LDP.exe und gehen Sie zu Verbindung > Verbinden.

    2. Führen Sie im Dialogfeld Verbinden die folgenden Schritte aus:

      1. Geben Sie in das Feld Server (Server) Ihren Domainnamen ein.
      2. Geben Sie in das Feld Port die Zahl 636 ein.
      3. Klicken Sie das Kästchen SSL an.
      4. Klicken Sie auf OK.

      Wenn LDAPS ordnungsgemäß aktiviert ist, ist die Verbindung erfolgreich.

    Zertifikat überwachen

    Sie können die Gültigkeitsdauer (Time to Live, TTL) für eine Zertifikatskette in Cloud Monitoring aufrufen. Der Messwert cert_ttl gibt die Anzahl der verbleibenden gültigen Tage für das Zertifikat in der Kette mit dem frühesten Ablauf an.

    Console

    So rufen Sie mit dem Metrics Explorer die Messwerte für eine überwachte Ressource auf:

    1. Wählen Sie im Navigationsbereich der Google Cloud Console Monitoring und anschließend  Metrics Explorer aus:

      Zum Metrics Explorer

    2. Maximieren Sie im Element Messwert das Menü Messwert auswählen, geben Sie LDAPS Certificate TTL in die Filterleiste ein und wählen Sie dann über die Untermenüs einen bestimmten Ressourcentyp und Messwert aus:
      1. Wählen Sie im Menü Aktive Ressourcen die Option Microsoft Active Directory-Domain aus.
      2. Wählen Sie im Menü Aktive Messwertkategorien die Option Microsoft_ad aus.
      3. Wählen Sie im Menü Aktive Messwerte die Option LDAPS-Zertifikat-TTL aus.
      4. Klicken Sie auf Anwenden.

    3. Verwenden Sie das Element Filter, um Zeitreihen aus der Anzeige zu entfernen.

    4. Verwenden Sie zum Kombinieren von Zeitreihen die Menüs im Element Aggregation. Wenn Sie beispielsweise die CPU-Auslastung für Ihre VMs basierend auf ihrer Zone anzeigen möchten, legen Sie das erste Menü auf Mittelwert und das zweite Menü auf Zone fest.

      Alle Zeitreihen werden angezeigt, wenn das erste Menü des Elements Aggregation auf Nicht aggregiert gesetzt ist. Die Standardeinstellungen für das Element Aggregation werden durch den ausgewählten Messwerttyp bestimmt.

    5. Gehen Sie für Kontingente und andere Messwerte, die eine Stichprobe pro Tag melden, so vor:
      1. Legen Sie im Bereich Anzeige den Widget-Typ auf Gestapeltes Balkendiagramm fest.
      2. Legen Sie als Zeitraum mindestens eine Woche fest.

    Sie können auch auf der Seite Domaindetails im Abschnitt LDAPS auf Monitoring klicken, um den Metrics Explorer aufzurufen.

    Sie können diese Messwerte auch mit dem Abfrageeditor ermitteln.

    1. Wählen Sie auf dem Tab Messwert die Option Abfrageeditor aus.

    2. Geben Sie im Textfeld des Abfrageeditors die folgende MQL-Abfrage ein und wählen Sie Run Query (Abfrage ausführen) aus.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    LDAPS deaktivieren

    So deaktivieren Sie LDAPS:

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Managed Microsoft AD auf.
      Zu Managed Microsoft AD
    2. Wählen Sie auf der Seite Domains in der Liste der Instanzen die Domain aus, für die Sie das Zertifikat deaktivieren möchten.
    3. Klicken Sie auf der Seite Domaindetails im Abschnitt LDAPS auf Deaktivieren.

    gcloud

    Führen Sie den folgenden gcloud CLI-Befehl aus:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    Ersetzen Sie DOMAIN_NAME durch den vollständigen Ressourcennamen Ihrer Managed Microsoft AD-Domain. Format des vollständigen Ressourcennamens: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

    Dieser Vorgang kann bis zu 20 Minuten dauern. Wenn Sie LDAPS wieder aktivieren möchten, müssen Sie die Zertifikate noch einmal hochladen.

    Nächste Schritte