Habilita LDAPS

En esta página, se muestra cómo habilitar LDAP a través de SSL/TLS (LDAPS) para el servicio administrado de Microsoft Active Directory (Microsoft AD administrado) para que tu tráfico LDAP sea confidencial y seguro. De forma predeterminada, la comunicación entre Microsoft AD administrado y las aplicaciones cliente no está encriptada para las vinculaciones LDAP simples.

Para habilitar LDAPS, debes tener un certificado. En esta página, también se describen las especificaciones del certificado requerido y cómo verificarlo y supervisarlo.

Solicitar un certificado

Puedes solicitar un certificado a una autoridad certificada (CA) pública, una CA empresarial,Google Cloud Certificate Authority Service o usar un certificado autofirmado. Si usas un certificado autofirmado, sigue la documentación de Microsoft vinculada a los comandos de PowerShell en las siguientes secciones.

Puedes crear un certificado autofirmado con el comando New-SelfSignedCertificate en Windows, OpenSSL o MakeCert.

Requisitos del certificado

El certificado debe cumplir con los siguientes requisitos:

  • En la siguiente tabla, se describen los requisitos para crear un certificado autofirmado y se enumeran los parámetros asociados que se usan en el comandoNew-SelfSignedCertificate. Ten en cuenta que los nombres de los parámetros o campos pueden variar según cómo crees el certificado.
Parámetro Descripción
Subject (nombre del asunto) Debe ser el nombre con el prefijo de comodín de tu dominio de Microsoft AD administrado para garantizar que el servicio siga disponible durante un proceso de actualización o restauración. Esto se debe a que los controladores de dominio usan nombres aleatorios que cambian durante un proceso de actualización o restablecimiento. Por ejemplo, si el nombre de dominio es ad.mycompany.com, el nombre del asunto debe ser CN=*.ad.mycompany.com.
DnsName (nombre de DNS o nombre alternativo del sujeto) Debe incluir solo lo siguiente:
  • Nombre comodín de su dominio de Microsoft AD administrado
  • Nombre de dominio de Microsoft AD administrado
  • Por ejemplo, "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
    KeySpec Debe establecerse en 1, lo que indica que se puede usar para la firma digital y el intercambio de claves.
    KeyLength El tamaño mínimo de la clave depende del algoritmo criptográfico.
  • RSA: Al menos 2,048 bits
  • ECDSA: Al menos 256 bits
  • ED25519: 512 bits (longitud fija)
  • KeyUsage Debe incluir "firmas digitales" y "encriptación de claves".
    TextExtension o EnhancedKeyUsageExtension Debe tener OID=1.3.6.1.5.5.7.3.1 para la autenticación del servidor.
    NotBefore La hora a partir de la cual el certificado es válido. El certificado debe ser válido cuando se habilita LDAPS.
    NotAfter La fecha en la que el certificado no es válido. El certificado debe ser válido cuando se habilita LDAPS.
    KeyAlgorithm (algoritmo de firma) Los algoritmos de firma débiles como SHA-1, MD2 y MD5 no son compatibles.
    • Cadena de emisión: Se debe subir toda la cadena de certificados y debe ser válida. La cadena debe ser lineal y no puede tener varias cadenas.

    • Formato del certificado: El formato debe cumplir con los estándares de criptografía de clave pública (PKCS) #12. Debes usar un archivo PFX.

    Solicita desde Public CA o empresarial

    Para solicitar un certificado a Public CA o empresarial, sigue estos pasos.

    Acepta el certificado en la misma VM en la que se genera la solicitud.

    Exporta el certificado en formato PKCS #12

    Para exportar el certificado en formato PKCS #12 (como un archivo PFX), completa los siguientes pasos:

    1. En Windows, navega a tus certificados en la Consola de administración de Microsoft (MMC).

    2. Expande Certificados locales de computadora y navega a Personal > Certificados.

    3. Haz clic con el botón derecho en el certificado que creaste para habilitar LDAPS y selecciona All Tasks > Export.

    4. En el cuadro de diálogo Certificate Export Wizard que aparece, haz clic en Next.

    5. En la página Exportar clave privada, selecciona para exportar la clave privada.

    6. En la página Export File Format, selecciona Personal Information Exchange - PKCS #12 (.PFX) y la casilla de verificación Include all certificates in the certification path if possible. Haz clic en Siguiente.

    7. En la página Seguridad, selecciona la casilla de verificación Contraseña y, luego, ingresa una contraseña segura para proteger el certificado. Haz clic en Siguiente. Esta contraseña es obligatoria cuando configuras LDAPS en tu dominio de Microsoft AD administrado.

    8. En la página Archivo a exportar, ingresa el nombre y la ruta de destino del archivo PFX que deseas exportar. Haz clic en Siguiente.

    9. Haz clic en Finalizar.

    Para exportar un certificado autofirmado con la clave privada en formato PKCS #12 como un archivo PFX, usa el comando Export-PfxCertificate y, para exportar el certificado autofirmado como un archivo PEM, usa el comando Export-Certificate.

    Distribuye la cadena de emisores a las computadoras de los clientes

    Para que LDAPS funcione, todas las computadoras de los clientes deben confiar en el emisor del certificado LDAPS. Para Public CA conocida, es posible que las computadoras del cliente ya confíen en la cadena del emisor. Si la cadena no es de confianza, completa los siguientes pasos para exportar la cadena del emisor:

    1. En Windows, navega a tus certificados en la Consola de administración de Microsoft (MMC).

    2. Expande Certificados locales de computadora y navega a Personal > Certificados. Haz doble clic en el certificado LDAPS.

    3. En la ventana Certificado, haz clic en la pestaña Ruta de certificación.

    4. En la pestaña Ruta de la certificación, selecciona el certificado raíz en la ruta.

    5. Haz clic en Ver certificado.

    6. Haz clic en la pestaña Detalles y, luego, en Copiar a archivo….

    7. En el diálogo Asistente para exportación de certificados que aparece, selecciona X.509 con codificación Base-64 y haz clic en Siguiente.

    8. Selecciona el nombre del archivo y la ubicación de la cadena de certificados y haz clic en Finalizar.

    9. Para copiar el certificado en la computadora cliente que establece la conexión LDAPS, usa el diálogo Certificate Import Wizard para importar el certificado en el almacén “Máquina local”. Como alternativa, puedes distribuir la cadena de certificados de autoridades emisoras a las computadoras cliente con la Política de grupo en Windows.

    Para importar un certificado autofirmado al almacén raíz de confianza de la máquina local, usa el comando Import-Certificate.

    Habilita LDAPS en un dominio de Microsoft AD administrado

    Antes de habilitar LDAPS en tu dominio de Microsoft AD administrado, haz lo siguiente:

    1. Asegúrate de tener uno de los siguientes roles de IAM:

      • Google Cloud Administrador de identidades administradas (roles/managedidentities.admin)
      • Google Cloud Administrador de dominios de identidades administradas (roles/managedidentities.domainAdmin)

      Para obtener más información sobre los roles de IAM de Microsoft AD administrado, consulta Control de acceso.

    Para habilitar LDAPS en tu dominio de Microsoft AD administrado, completa los siguientes pasos:

    Console

    1. En la consola de Google Cloud , ve a la página Microsoft AD administrado.
      Ir a Microsoft AD administrado
    2. En la página Dominios, selecciona un dominio de la lista de instancias para habilitar LDAPS.
    3. En la sección LDAPS de la página Detalles del dominio, haz clic en Configurar LDAPS.
    4. En el panel Configurar LDAPS, ingresa la ubicación del archivo PFX y la contraseña que usaste para exportar el certificado en formato PKCS #12 y, luego, haz clic en Configurar LDAPS.

    gcloud

    Ejecuta el siguiente comando de la CLI de gcloud:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
        --certificate-pfx-file=PFX_FILENAME \
        --certificate-password=PASSWORD
    

    Reemplaza lo siguiente:

    • DOMAIN_NAME: Es el nombre completo del recurso de tu dominio de Microsoft AD administrado. El formato del nombre completo del recurso es projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
    • PFX_FILENAME: Es el archivo PFX con formato PKCS #12 que especifica la cadena de certificados que se usa para configurar LDAPS.
    • PASSWORD: Es la contraseña que se usa para encriptar el certificado PKCS #12. Si no especificas la contraseña, se te solicitará que la ingreses mientras se ejecuta el comando.

    Esta operación puede tardar hasta 20 minutos en completarse. Para actualizar el certificado, repite estos pasos con el archivo PFX actualizado.

    Verifica LDAPS

    Para verificar que LDAPS esté habilitado, realiza una vinculación LDAPS. En este proceso, se usa LDP.exe, que es una de las herramientas de RSAT que instalas cuando unes una VM al dominio.

    En una VM de Windows Google Cloud unida a un dominio, completa los siguientes pasos en PowerShell:

    1. En PowerShell, inicia LDP.exe y navega a Conexión > Conectar.

    2. En el cuadro de diálogo Conectar, completa los siguientes pasos:

      1. En el campo Servidor, ingresa tu nombre de dominio.
      2. En el campo Puerto, escribe 636.
      3. Selecciona la casilla de verificación SSL.
      4. Haz clic en Aceptar.

      Si LDAPS se habilita correctamente, la conexión se realiza de forma correcta.

    Supervisa un certificado

    Puedes ver el tiempo de actividad (TTL) para una cadena de certificados en Cloud Monitoring. La métrica cert_ttl muestra la cantidad de días válidos restantes del certificado en la cadena con el vencimiento más antiguo.

    Console

    Para consultar las métricas de un recurso supervisado usando el Explorador de métricas, haz lo siguiente:

    1. En la consola de Google Cloud , accede a la página  Explorador de métricas:

      Acceder al Explorador de métricas

      Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

    2. En la barra de herramientas de la consola de Google Cloud , selecciona tu proyecto de Google Cloud . Para las configuraciones de App Hub, selecciona el proyecto host de App Hub o el proyecto de administración de la carpeta habilitada para apps.
    3. En el elemento Métrica, expande el menú Seleccionar una métrica, ingresa LDAPS Certificate TTL en la barra de filtros y, luego, usa los submenús para seleccionar un métrica y tipo de recurso específicos:
      1. En el menú Recursos activos, selecciona Microsoft Active Directory Domain.
      2. En el menú Categorías de métricas activas, selecciona Microsoft_ad.
      3. En el menú Métricas activas, selecciona TTL del certificado de LDAPS.
      4. Haz clic en Aplicar.
    4. Para agregar filtros que quiten series temporales de los resultados de la consulta, usa el elemento Filtro.

    5. Para combinar series temporales, usa los menús del elemento Agregación. Por ejemplo, para mostrar el uso de CPU de tus VM, en función de su zona, configura el primer menú como Mean y el segundo menú como zona.

      Todas las series temporales se muestran cuando el primer menú del elemento Agregación se establece en Sin agregar. La configuración predeterminada para el elemento Agregación está determinada por el tipo de métrica que elegiste.

    6. Para obtener cuotas y otras métricas que informen una muestra por día, haz lo siguiente:
      1. En el panel Mostrar, establece el Tipo de widget en Gráfico de barras apiladas.
      2. Establece el período en al menos una semana.

    También puedes hacer clic en Monitoring en la sección LDAPS de la página Detalles del dominio para navegar al Explorador de métricas.

    También puedes usar el Editor de consultas para encontrar estas métricas.

    1. En la pestaña Métrica, selecciona Editor de consultas.

    2. En el campo de texto del Editor de consultas, ingresa la siguiente consulta de MQL y selecciona Ejecutar consulta.

    fetch microsoft_ad_domain
    | metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
    | group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
    | every 1m
    | group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]
    

    Inhabilita LDAPS

    Para inhabilitar LDAPS, completa los siguientes pasos:

    Console

    1. En la consola de Google Cloud , ve a la página Microsoft AD administrado.
      Ir a Microsoft AD administrado
    2. En la página Dominios, selecciona el dominio de la lista de instancias para el que deseas inhabilitar el certificado.
    3. En la sección LDAPS de la página Detalles del dominio, haz clic en Inhabilitar.

    gcloud

    Ejecuta el siguiente comando de la CLI de gcloud:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
        --clear-ldaps-certificate
    

    Reemplaza DOMAIN_NAME por el nombre completo del recurso de tu dominio de Microsoft AD administrado. El formato del nombre completo del recurso es projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

    Esta operación puede tardar hasta 20 minutos en completarse. Para volver a habilitar LDAPS, debes volver a subir los certificados.

    ¿Qué sigue?