Habilitar LDAPS

En esta página, se muestra cómo habilitar LDAP a través de SSL/TLS (LDAPS) para el Servicio administrado para Microsoft Active Directory (Microsoft AD administrado) para que tu tráfico de LDAP sea confidencial y seguro. De forma predeterminada, la comunicación entre Microsoft AD administrado y las aplicaciones cliente no se encripta para vinculaciones LDAP simples.

Para habilitar LDAPS, debes tener un certificado. En esta página, también se describen las especificaciones del certificado requerido y cómo verificarlo y supervisarlo.

Solicitar un certificado

Puedes solicitar un certificado a una autoridad certificada (CA) pública, una CA empresarial o un Servicio de autoridad certificadora de Google Cloud, o bien usar un certificado autofirmado. Si usas un certificado autofirmado, sigue la documentación de Microsoft vinculada a los comandos de PowerShell en las siguientes secciones.

Puedes crear un certificado autofirmado con el comando New-SelfSignedCertificate en Windows, OpenSSL o MakeCert.

Requisitos del certificado

El certificado debe cumplir con los siguientes requisitos:

  • En la siguiente tabla, se describen los requisitos para crear un certificado autofirmado y se enumeran los parámetros asociados que se usan en el comando New-SelfSignedCertificate. Ten en cuenta que los nombres de parámetros o campos pueden variar según cómo crees el certificado.
Parámetro Descripción
Subject (nombre del asunto) Debe ser el nombre con prefijo de comodín de tu dominio de Microsoft AD administrado para garantizar que el servicio permanezca disponible durante un proceso de actualización o restablecimiento. Esto se debe a que los controladores de dominio usan nombres aleatorios que cambian durante un proceso de actualización o restablecimiento. Por ejemplo, si el nombre de dominio es ad.mycompany.com, el nombre del asunto debe ser CN=*.ad.mycompany.com.
DnsName (nombre de DNS o nombre alternativo del asunto) Solo debe incluir lo siguiente:
  • Nombre comodín de su dominio de Microsoft AD administrado
  • Nombre de dominio de Microsoft AD administrado
    • Por ejemplo, "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
    KeySpec Se debe configurar en 1, lo que indica que se puede usar para la firma digital y el intercambio de claves.
    KeyLength El tamaño mínimo de la clave depende del algoritmo criptográfico.
  • RSA: 2048 bits como mínimo
  • ECDSA: 256 bits como mínimo
  • ED25519: 512 bits (longitud fija)
    		•
    KeyUsage Debe incluir "firmas digitales" y "encriptación de claves".
    TextExtension o EnhancedKeyUsageExtension Debe tener OID=1.3.6.1.5.5.7.3.1 para la autenticación del servidor.
    NotBefore La hora a partir de la cual el certificado es válido. El certificado debe ser válido cuando se habilita LDAPS.
    NotAfter La fecha en la que el certificado no es válido. El certificado debe ser válido cuando se habilita LDAPS.
    KeyAlgorithm (algoritmo de firma) No se admiten los algoritmos de firma débil, como SHA-1, MD2, MD5.

    • Cadena de emisión: Se debe subir toda la cadena de certificados y debe ser válida. La cadena debe ser lineal y no puede tener varias cadenas.

    • Formato del certificado: El formato debe cumplir con los Estándares de criptografía de claves públicas (PKCS) n.o 12. Debes usar un archivo PFX.

    Solicitud de Public CA o de una empresa

    Para solicitar un certificado de Public CA o una AC empresarial, sigue estos pasos.

    Acepta el certificado en la misma VM en la que se genera la solicitud.

    Exporta el certificado en formato PKCS n.o 12

    Para exportar el certificado en formato PKCS n.o 12 (como un archivo PFX), completa los siguientes pasos:

    1. En Windows, navega a tus certificados en la Consola de administración de Microsoft (MMC).

    2. Expande Certificados de computadora local y navega a Certificados personales >.

    3. Haz clic con el botón derecho en el certificado que creaste para habilitar LDAPS y selecciona Todas las tareas > Exportar.

    4. En el diálogo Asistente de exportación de certificados que aparece, haz clic en Siguiente.

    5. En la página Exportar clave privada, selecciona para exportar la clave privada.

    6. En la página Exportar formato de archivo, selecciona la casilla de verificación Intercambio de información personal: PKCS #12 (.PFX) y Incluir todos los certificados en la ruta de certificación si es posible. Haz clic en Siguiente.

    7. En la página Seguridad, selecciona la casilla de verificación Contraseña y, luego, ingresa una contraseña segura para proteger el certificado. Haga clic en Next. Esta contraseña es obligatoria cuando configuras LDAPS en tu dominio de Microsoft AD administrado.

    8. En la página Archivo para exportar, ingresa el nombre de destino y la ruta de acceso del archivo PFX que deseas exportar. Haz clic en Siguiente.

    9. Haz clic en Finalizar.

    Para exportar un certificado autofirmado con la clave privada en formato PKCS #12 como un archivo PFX, usa el comando Export-PfxCertificate. Para exportar el certificado autofirmado como un archivo PEM, usa el comando Export-Certificate.

    Distribuye la cadena de entidades emisoras a las computadoras de los clientes

    Para que LDAPS funcione, todas las computadoras de los clientes deben confiar en el emisor del certificado LDAPS. Para Public CA conocida, es posible que las computadoras cliente ya confíen en la cadena de la entidad emisora. Si la cadena no es de confianza, completa los siguientes pasos para exportarla:

    1. En Windows, navega a tus certificados en la Consola de administración de Microsoft (MMC).

    2. Expande Certificados de computadora local y navega a Certificados > personales. Haz doble clic en el certificado LDAPS.

    3. En la ventana Certificado, haz clic en la pestaña Ruta de certificación.

    4. En la pestaña Ruta de la certificación, selecciona el certificado raíz en la ruta.

    5. Haz clic en Ver certificado.

    6. Haz clic en la pestaña Detalles y, luego, en Copiar a archivo...

    7. En el cuadro de diálogo Asistente de exportación de certificados que aparece, selecciona X.509 codificado en Base-64 y haz clic en Siguiente.

    8. Selecciona el nombre de archivo y la ubicación para la cadena de certificados y haz clic en Finish.

    9. Para copiar el certificado en la computadora cliente que establece la conexión LDAPS, usa el diálogo Asistente de importación de certificados para importar el certificado en el almacén "Máquina local". De manera alternativa, puedes distribuir la cadena de certificados de las autoridades emisoras a las computadoras cliente mediante la política de grupo en Windows.

    Para importar un certificado autofirmado al almacén raíz de confianza de la máquina local, usa el comando Import-Certificate.

    Habilita LDAPS en un dominio administrado de Microsoft AD

    Antes de habilitar LDAPS en tu dominio de Microsoft AD administrado, haz lo siguiente:

    1. Asegúrate de tener uno de los siguientes roles de IAM:

      • Administrador de identidades administradas de Google Cloud (roles/managedidentities.admin)
      • Administrador de dominios de identidades administradas de Google Cloud (roles/managedidentities.domainAdmin)

      Para obtener más información sobre las funciones de IAM de Microsoft AD administrado, consulta Control de acceso.

    Para habilitar LDAPS en tu dominio de Microsoft AD administrado, completa los siguientes pasos:

    Console

    1. En la consola de Google Cloud, ve a la página Microsoft AD administrado.
      Ir a Microsoft AD administrado
    2. En la página Dominios, selecciona un dominio de la lista de instancias para habilitar LDAPS.
    3. En la sección LDAPS de la página Detalles del dominio, haz clic en Configurar LDAPS.
    4. En el panel Configurar LDAPS, ingresa la ubicación del archivo PFX y la contraseña que usaste para exportar el certificado en formato PKCS #12 y, luego, haz clic en Configurar LDAPS.

    gcloud

    Ejecuta el siguiente comando de la CLI de gcloud:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    Reemplaza lo siguiente:

    • DOMAIN_NAME: Es el nombre completo del recurso de tu dominio Microsoft AD administrado. Formato de nombre de recurso completo: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
    • PFX_FILENAME: Es el archivo PFX con formato PKCS #12 que especifica la cadena de certificados que se usa para configurar LDAPS.
    • PASSWORD: Es la contraseña que se usa para encriptar el certificado PKCS #12. Si no especificas la contraseña, se la solicitará mientras ejecutas el comando.

    Esta operación puede tardar hasta 20 minutos en completarse. Para actualizar el certificado, repite estos pasos con el archivo PFX actualizado.

    Verificar LDAPS

    Puedes verificar que LDAPS esté habilitado realizando una vinculación de LDAPS. En este proceso, se usa LDP.exe, que es una de las herramientas de RSA que instalas cuando unes una VM al dominio.

    En una VM de Windows de Google Cloud unida al dominio, completa los siguientes pasos en PowerShell:

    1. En PowerShell, inicia LDP.exe y navega a Conexión > Conectar.

    2. En el diálogo Connect, completa los siguientes pasos:

      1. En el campo Servidor, ingresa el nombre de tu dominio.
      2. En el campo Puerto, ingresa 636.
      3. Selecciona la casilla de verificación SSL.
      4. Haz clic en Aceptar.

      Si LDAPS se habilita correctamente, la conexión se realiza de forma correcta.

    Cómo supervisar un certificado

    Puedes ver el tiempo de actividad (TTL) para una cadena de certificados en Cloud Monitoring. La métrica cert_ttl muestra la cantidad de días válidos restantes del certificado en la cadena con el vencimiento más antiguo.

    Console

    Para consultar las métricas de un recurso supervisado usando el Explorador de métricas, haz lo siguiente:

    1. En el panel de navegación de la consola de Google Cloud, elige Monitoring y, luego,  Explorador de métricas:

      Ir al Explorador de métricas

    2. En el elemento Métrica, expande el menú Seleccionar una métrica, ingresa LDAPS Certificate TTL en la barra de filtros y, luego, usa los submenús para seleccionar un métrica y tipo de recurso específicos:
      1. En el menú Recursos activos, selecciona Dominio de Active Directory de Microsoft.
      2. En el menú Categorías de métricas activas, selecciona Microsoft_ad.
      3. En el menú Métricas activas, selecciona Certificado de TTL de LDAP.
      4. Haz clic en Aplicar.

    3. Para quitar series temporales de la pantalla, usa el elemento Filtro.

    4. Para combinar series temporales, usa los menús del elemento Agregación. Por ejemplo, para mostrar el uso de CPU de tus VM, en función de su zona, configura el primer menú como Mean y el segundo menú como zona.

      Todas las series temporales se muestran cuando el primer menú del elemento Agregación se establece en Sin agregar. La configuración predeterminada para el elemento Agregación está determinada por el tipo de métrica que elegiste.

    5. Para obtener cuotas y otras métricas que informen una muestra por día, haz lo siguiente:
      1. En el panel Mostrar, establece el Tipo de widget en Gráfico de barras apiladas.
      2. Establece el período en al menos una semana.

    También puedes hacer clic en Supervisión en la sección LDAPS de la página Detalles del dominio para navegar al Explorador de métricas.

    También puedes usar el Editor de consultas para encontrar estas métricas.

    1. En la pestaña Métrica, selecciona Editor de consultas.

    2. En el campo de texto del Editor de consultas, ingresa la siguiente consulta de MQL y selecciona Ejecutar consulta.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    Inhabilita LDAPS

    Para inhabilitar LDAPS, completa los siguientes pasos:

    Console

    1. En la consola de Google Cloud, ve a la página Microsoft AD administrado.
      Ir a Microsoft AD administrado
    2. En la página Dominios, selecciona el dominio de la lista de instancias para las que quieres inhabilitar el certificado.
    3. En la sección LDAPS de la página Domain details, haz clic en Disable.

    gcloud

    Ejecuta el siguiente comando de la CLI de gcloud:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    Reemplaza DOMAIN_NAME por el nombre completo del recurso de tu dominio Microsoft AD administrado. Formato de nombre de recurso completo: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

    Esta operación puede tardar hasta 20 minutos en completarse. Para volver a habilitar LDAPS, debes volver a subir los certificados.

    ¿Qué sigue?