Habilitar LDAPS

En esta página se explica cómo habilitar LDAP sobre SSL/TLS (LDAPS) en Managed Service for Microsoft Active Directory (Managed Microsoft AD) para que tu tráfico LDAP sea confidencial y seguro. De forma predeterminada, la comunicación entre Managed Microsoft AD y las aplicaciones cliente no se cifra en las vinculaciones LDAP simples.

Para habilitar LDAPS, debes tener un certificado. En esta página también se describen las especificaciones del certificado necesario y cómo verificarlo y monitorizarlo.

Solicitar un certificado

Puedes solicitar un certificado a una autoridad de certificación pública, a una autoridad de certificación de empresa o alGoogle Cloud servicio de autoridad de certificación, o bien usar un certificado autofirmado. Si usas un certificado autofirmado, sigue la documentación de Microsoft vinculada a los comandos de PowerShell de las siguientes secciones.

Puedes crear un certificado autofirmado con el comando New-SelfSignedCertificate en Windows, OpenSSL o MakeCert.

Requisitos de los certificados

Tu certificado debe cumplir los siguientes requisitos:

  • En la siguiente tabla se describen los requisitos para crear un certificado autofirmado y se enumeran los parámetros asociados que se usan en el comando New-SelfSignedCertificate. Ten en cuenta que los nombres de los parámetros o campos pueden variar en función de cómo crees el certificado.
Parámetro Descripción
Subject (nombre del tema) Debe ser el nombre con prefijo comodín de tu dominio de Microsoft AD gestionado para asegurarte de que el servicio siga disponible durante un proceso de actualización o restauración. Esto se debe a que los controladores de dominio usan nombres aleatorios que cambian durante un proceso de actualización o restauración. Por ejemplo, si el nombre de dominio es ad.mycompany.com, el nombre del asunto debe ser CN=*.ad.mycompany.com.
DnsName (nombre de DNS o nombre alternativo del asunto) Debe incluir únicamente lo siguiente:
  • Nombre de comodín de tu dominio de Microsoft AD gestionado
  • Nombre de dominio de Microsoft AD gestionado
    • Por ejemplo, "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
    KeySpec Debe tener el valor 1, que indica que se puede usar tanto para la firma digital como para el intercambio de claves.
    KeyLength El tamaño mínimo de la clave depende del algoritmo criptográfico.
  • RSA: al menos 2048 bits
  • ECDSA: al menos 256 bits
  • ED25519: 512 bits (longitud fija)
    		•
    KeyUsage Debe incluir "firmas digitales" y "cifrado de claves".
    TextExtension o EnhancedKeyUsageExtension Debe tener OID=1.3.6.1.5.5.7.3.1 para autenticar el servidor.
    NotBefore La hora a partir de la cual el certificado es válido. El certificado debe ser válido al habilitar LDAPS.
    NotAfter La hora a partir de la cual el certificado no es válido. El certificado debe ser válido al habilitar LDAPS.
    KeyAlgorithm (algoritmo de firma) No se admiten algoritmos de firma débiles, como SHA-1, MD2 y MD5.

    • Cadena de emisión: debe subirse toda la cadena de certificados y debe ser válida. La cadena debe ser lineal y no puede tener varias cadenas.

    • Formato del certificado: debe cumplir el estándar criptográfico de clave pública (PKCS) #12. Debes usar un archivo PFX.

    Solicitud de una AC pública o de una AC de empresa

    Para solicitar un certificado de una autoridad de certificación pública o de empresa, sigue estos pasos.

    Acepta el certificado en la misma VM en la que se genera la solicitud.

    Exportar el certificado en formato PKCS #12

    Para exportar el certificado en formato PKCS #12 (como archivo PFX), sigue estos pasos:

    1. En Windows, ve a tus certificados en la consola de gestión de Microsoft (MMC).

    2. Expande Certificados de equipo local y ve a Personal > Certificados.

    3. Haz clic con el botón derecho en el certificado que has creado para habilitar LDAPS y selecciona Todas las tareas > Exportar.

    4. En el cuadro de diálogo Asistente para exportar certificados que aparece, haz clic en Siguiente.

    5. En la página Exportar clave privada, selecciona para exportar la clave privada.

    6. En la página Export File Format (Formato de archivo de exportación), selecciona Personal Information Exchange - PKCS #12 (.PFX) (Intercambio de información personal - PKCS #12 [.PFX]) y la casilla Include all certificates in the certification path if possible (Incluir todos los certificados de la ruta de certificación si es posible). Haz clic en Siguiente.

    7. En la página Seguridad, selecciona la casilla Contraseña e introduce una contraseña segura para proteger el certificado. Haz clic en Siguiente. Esta contraseña es necesaria para configurar LDAPS en tu dominio de Microsoft AD gestionado.

    8. En la página File to Export (Archivo que se va a exportar), escriba el nombre y la ruta de destino del archivo PFX que se va a exportar. Haz clic en Siguiente.

    9. Haz clic en Finalizar.

    Para exportar un certificado autofirmado con la clave privada en formato PKCS #12 como archivo PFX, usa el Export-PfxCertificate comando y, para exportar el certificado autofirmado como archivo PEM, usa el Export-Certificate comando.

    Distribuir la cadena de la entidad emisora a los ordenadores cliente

    Para que LDAPS funcione, todos los ordenadores cliente deben confiar en la entidad emisora del certificado LDAPS. En el caso de una AC pública conocida, es posible que los ordenadores cliente ya confíen en la cadena de emisores. Si la cadena no es de confianza, sigue estos pasos para exportar la cadena de la entidad emisora:

    1. En Windows, ve a tus certificados en la consola de gestión de Microsoft (MMC).

    2. Expande Certificados de equipo local y ve a Personal > Certificados. Haz doble clic en el certificado LDAPS.

    3. En la ventana Certificado, haz clic en la pestaña Ruta de certificación.

    4. En la pestaña Ruta de certificación, selecciona el certificado raíz de la ruta.

    5. Haz clic en Ver certificado.

    6. Haz clic en la pestaña Detalles y, a continuación, en Copiar en archivo...

    7. En el cuadro de diálogo Asistente para exportación de certificados que aparece, selecciona X.509 codificado en Base 64 y haz clic en Siguiente.

    8. Seleccione el nombre y la ubicación de la cadena de certificados y haga clic en Finalizar.

    9. Para copiar el certificado en el ordenador cliente que establece la conexión LDAPS, usa el cuadro de diálogo Asistente para importar certificados para importar el certificado en el almacén "Máquina local". También puedes distribuir la cadena de certificados de las autoridades emisoras a los ordenadores cliente mediante la directiva de grupo en Windows.

    Para importar un certificado autofirmado en el almacén raíz de confianza de la máquina local, usa el Import-Certificate comando.

    Habilitar LDAPS en un dominio de Microsoft AD gestionado

    Antes de habilitar LDAPS en tu dominio de Managed Microsoft AD, haz lo siguiente:

    1. Asegúrate de tener uno de los siguientes roles de gestión de identidades y accesos:

      • Google Cloud Administrador de identidades gestionadas (roles/managedidentities.admin)
      • Google Cloud Administrador de dominios de identidades gestionadas (roles/managedidentities.domainAdmin)

      Para obtener más información sobre los roles de gestión de identidades y accesos de Microsoft AD gestionado, consulta Control de acceso.

    Para habilitar LDAPS en tu dominio de Microsoft AD gestionado, sigue estos pasos:

    Consola

    1. En la consola de Google Cloud , ve a la página Microsoft AD gestionado.
      Ir a Microsoft AD gestionado
    2. En la página Dominios, selecciona un dominio de la lista de instancias para habilitar LDAPS.
    3. En la sección LDAPS de la página Detalles del dominio, haz clic en Configurar LDAPS.
    4. En el panel Configurar LDAPS, introduce la ubicación del archivo PFX y la contraseña que usaste para exportar el certificado en formato PKCS #12. A continuación, haz clic en Configurar LDAPS.

    gcloud

    Ejecuta el siguiente comando de gcloud CLI:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    Haz los cambios siguientes:

    • DOMAIN_NAME: el nombre completo del recurso de tu dominio de Microsoft AD gestionado. Formato del nombre completo del recurso: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
    • PFX_FILENAME: archivo PFX con formato PKCS #12 que especifica la cadena de certificados utilizada para configurar LDAPS.
    • PASSWORD: contraseña utilizada para cifrar el certificado PKCS #12. Si no especificas la contraseña, se te pedirá que la introduzcas al ejecutar el comando.

    Esta operación puede tardar hasta 20 minutos en completarse. Para actualizar el certificado, repite estos pasos con el archivo PFX actualizado.

    Verificar LDAPS

    Para comprobar que LDAPS está habilitado, realiza un enlace LDAPS. Este proceso usa LDP.exe, que es una de las herramientas de RSAT que instalas cuando unes una VM a un dominio.

    En una máquina virtual de Windows unida a un dominio, sigue estos pasos en PowerShell: Google Cloud

    1. En PowerShell, inicia LDP.exe y ve a Connection > Connect (Conexión > Conectar).

    2. En el cuadro de diálogo Conectar, sigue estos pasos:

      1. En el campo Servidor, introduce el nombre de tu dominio.
      2. En el campo Puerto, introduce 636.
      3. Selecciona la casilla SSL.
      4. Haz clic en Aceptar.

      Si LDAPS está habilitado correctamente, la conexión se realizará.

    Monitorizar un certificado

    Puedes ver el tiempo de vida (TTL) de una cadena de certificados en Cloud Monitoring. La métrica cert_ttl muestra el número de días válidos que quedan para el certificado de la cadena que caduca antes.

    Consola

    Para ver las métricas de un recurso monitorizado con el explorador de métricas, haz lo siguiente:

    1. En la Google Cloud consola, ve a la página  Explorador de métricas:

      Ve al explorador de métricas.

      Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Monitorización.

    2. En la barra de herramientas de la Google Cloud consola, selecciona tu Google Cloud proyecto. En las configuraciones de App Hub, selecciona el proyecto host de App Hub o el proyecto de gestión de la carpeta habilitada para aplicaciones.
    3. En el elemento Métrica, despliega el menú Seleccionar una métrica, introduce LDAPS Certificate TTL en la barra de filtros y, a continuación, usa los submenús para seleccionar un tipo de recurso y una métrica específicos:
      1. En el menú Recursos activos, selecciona Dominio de Microsoft Active Directory.
      2. En el menú Categorías de métricas activas, selecciona Microsoft_ad.
      3. En el menú Métricas activas, selecciona TTL del certificado LDAPS.
      4. Haz clic en Aplicar.

    4. Para añadir filtros que eliminen series temporales de los resultados de la consulta, usa el elemento Filter.

    5. Para combinar series temporales, usa los menús del elemento "Agregación". Por ejemplo, para mostrar el uso de la CPU de tus VMs en función de su zona, define el primer menú como Media y el segundo como zona.

      Todas las series temporales se muestran cuando el primer menú del elemento Agregación se define como Sin agregar. Los ajustes predeterminados del elemento Agregación se determinan en función del tipo de métrica que hayas seleccionado.

    6. En el caso de las cuotas y otras métricas que registran una muestra al día, haga lo siguiente:
      1. En el panel Visualización, defina el Tipo de widget como Gráfico de barras apiladas.
      2. Define el periodo en al menos una semana.

    También puedes hacer clic en Monitoring (Monitorización) en la sección LDAPS (LDAPS) de la página Domain details (Detalles del dominio) para ir a Metrics Explorer (Explorador de métricas).

    También puedes usar el Editor de consultas para encontrar estas métricas.

    1. En la pestaña Métrica, selecciona Editor de consultas.

    2. En el campo de texto del Editor de consultas, introduce la siguiente consulta de MQL y selecciona Ejecutar consulta.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    Inhabilitar LDAPS

    Para inhabilitar LDAPS, sigue estos pasos:

    Consola

    1. En la consola de Google Cloud , ve a la página Microsoft AD gestionado.
      Ir a Microsoft AD gestionado
    2. En la página Dominios, selecciona el dominio de la lista de instancias para el que quieras inhabilitar el certificado.
    3. En la sección LDAPS de la página Detalles del dominio, haz clic en Inhabilitar.

    gcloud

    Ejecuta el siguiente comando de gcloud CLI:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    Sustituye DOMAIN_NAME por el nombre de recurso completo de tu dominio de Managed Microsoft AD. Formato del nombre completo del recurso: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

    Esta operación puede tardar hasta 20 minutos en completarse. Para volver a habilitar LDAPS, debes volver a subir los certificados.

    Siguientes pasos