Activer LDAPS

Cette page explique comment activer LDAP sur SSL/TLS (LDAPS) pour le service géré pour Microsoft Active Directory (Managed Microsoft AD) afin de rendre votre trafic LDAP confidentiel et sécurisé. Par défaut, la communication entre Managed Microsoft AD et les applications clientes n'est pas chiffrée pour les liaisons LDAP simples.

Pour activer LDAPS, vous devez disposer d'un certificat. Cette page décrit également les spécifications du certificat requis, comment le vérifier et le surveiller.

Demander un certificat

Vous pouvez demander un certificat à Public Certificate Authority, à une autorité de certification d'entreprise, auGoogle Cloud service d'autorité de certification ou utiliser un certificat autosigné. Si vous utilisez un certificat autosigné, suivez la documentation Microsoft associée aux commandes PowerShell dans les sections suivantes.

Vous pouvez créer un certificat autosigné avec la commande New-SelfSignedCertificate sous Windows, OpenSSL ou MakeCert.

Exigences relatives aux certificats

Votre certificat doit répondre aux exigences suivantes :

  • Le tableau suivant décrit les exigences pour créer un certificat autosigné et liste les paramètres associés utilisés dans la commande New-SelfSignedCertificate. Notez que les noms des paramètres ou des champs peuvent varier en fonction de la façon dont vous créez le certificat.
Paramètre Description
Subject (nom de la matière) Il doit s'agir du nom préfixé par un caractère générique de votre domaine Microsoft AD géré pour garantir la disponibilité du service lors d'une mise à niveau ou d'une restauration. En effet, les contrôleurs de domaine utilisent des noms aléatoires qui changent lors d'une mise à niveau ou d'une restauration. Par exemple, si le nom de domaine est ad.mycompany.com, le nom de l'objet doit être CN=*.ad.mycompany.com
DnsName (nom DNS ou autre nom de l'objet) Il doit comporter uniquement les éléments suivants :
  • Nom générique de votre domaine Microsoft AD géré
  • Nom de domaine Microsoft AD géré
    • Par exemple : "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
    KeySpec Doit être défini sur 1, ce qui indique qu'il peut être utilisé à la fois pour la signature numérique et l'échange de clés.
    KeyLength La taille minimale de la clé dépend de l'algorithme de chiffrement.
  • RSA : au moins 2 048 bits
  • ECDSA : au moins 256 bits
  • ED25519 : 512 bits (longueur fixe)
    		•
    KeyUsage Doit inclure les "signatures numériques" et les "chiffrements de clés".
    TextExtension ou EnhancedKeyUsageExtension Doit correspondre à OID=1.3.6.1.5.5.7.3.1 pour l'authentification du serveur.
    NotBefore Heure à partir de laquelle le certificat est valide. Le certificat doit être valide lors de l'activation de LDAPS.
    NotAfter Passé ce délai, le certificat n'est plus valide. Le certificat doit être valide lors de l'activation de LDAPS.
    KeyAlgorithm (algorithme de signature) Les algorithmes de signature vulnérables, tels que SHA-1, MD2 et MD5, ne sont pas compatibles.

    • Chaîne d'émission : l'intégralité de la chaîne de certificats doit être importée et valide. La chaîne doit être linéaire et ne peut pas comporter plusieurs chaînes.

    • Format du certificat : le format doit respecter les normes PKCS #12 (Public-Key Cryptography Standards). Vous devez utiliser un fichier PFX.

    Demander à Public CA ou d'entreprise

    Pour demander un certificat à Public CA ou d'entreprise, suivez ces étapes.

    Acceptez le certificat sur la même VM que celle où la requête est générée.

    Exporter le certificat au format PKCS #12

    Pour exporter le certificat au format PKCS #12 (en tant que fichier PFX), procédez comme suit :

    1. Sous Windows, accédez à vos certificats dans la console MMC (Microsoft Management Console).

    2. Développez Certificats d'ordinateur local, puis accédez à Certificats > personnels.

    3. Effectuez un clic droit sur le certificat que vous avez créé pour activer LDAPS, puis sélectionnez Toutes les tâches > Exporter.

    4. Dans la boîte de dialogue Assistant d'exportation de certificats qui s'affiche, cliquez sur Suivant.

    5. Sur la page Exporter la clé privée, sélectionnez Oui pour exporter la clé privée.

    6. Sur la page Format de fichier d'exportation, sélectionnez Échange d'informations personnelles - PKCS #12 (.PFX) et cochez la case Incluez tous les certificats dans le chemin de certification si possible. Cliquez sur Suivant.

    7. Sur la page Sécurité, cochez la case Mot de passe, puis saisissez un mot de passe sécurisé pour protéger le certificat. Cliquez sur Next (Suivant). Ce mot de passe est requis lors de la configuration de LDAPS sur votre domaine Microsoft AD géré.

    8. Sur la page Fichier à exporter, saisissez le nom et le chemin d'accès de la destination du fichier PFX à exporter. Cliquez sur Suivant.

    9. Cliquez sur Terminer.

    Pour exporter un certificat autosigné avec la clé privée au format PKCS #12 en tant que fichier PFX, utilisez la commande Export-PfxCertificate. Pour exporter le certificat autosigné en tant que fichier PEM, utilisez la commande Export-Certificate.

    Distribuer la chaîne de l'émetteur aux ordinateurs clients

    Pour que LDAPS fonctionne, tous les ordinateurs clients doivent approuver l'émetteur du certificat LDAPS. Pour Public CA connue, les ordinateurs clients peuvent déjà faire confiance à la chaîne de l'émetteur. Si la chaîne n'est pas approuvée, procédez comme suit pour exporter la chaîne de l'émetteur :

    1. Sous Windows, accédez à vos certificats dans la console MMC (Microsoft Management Console).

    2. Développez Certificats d'ordinateur local, puis accédez à Certificats > personnels. Double-cliquez sur le certificat LDAPS.

    3. Dans la fenêtre Certificat, cliquez sur l'onglet Chemin de certification.

    4. Dans l'onglet Chemin de certification, sélectionnez le certificat racine du chemin.

    5. Cliquez sur Afficher le certificat.

    6. Cliquez sur l'onglet Détails, puis sur Copier dans un fichier.

    7. Dans la boîte de dialogue Assistant d'exportation de certificats qui s'affiche, sélectionnez X.509 encodé en base64, puis cliquez sur Suivant.

    8. Sélectionnez le nom de fichier et l'emplacement de la chaîne de certificats, puis cliquez sur Terminer.

    9. Pour copier le certificat sur l'ordinateur client qui établit la connexion LDAPS, utilisez la boîte de dialogue Assistant d'importation de certificats pour importer le certificat dans le magasin "Ordinateur local". Vous pouvez également distribuer la chaîne de certificats des autorités émettrices aux ordinateurs clients à l'aide de la stratégie de groupe dans Windows.

    Pour importer un certificat autosigné dans le magasin racine de confiance de la machine locale, utilisez la commande Import-Certificate.

    Activer LDAPS sur un domaine Microsoft AD géré

    Avant d'activer LDAPS sur votre domaine Microsoft AD géré, procédez comme suit :

    1. Assurez-vous de disposer de l'un des rôles IAM suivants :

      • Google Cloud Administrateur Managed Identities (roles/managedidentities.admin)
      • Google Cloud Administrateur de domaine Managed Identities (roles/managedidentities.domainAdmin)

      Pour en savoir plus sur les rôles IAM Managed Microsoft AD, consultez Contrôle des accès.

    Pour activer LDAPS sur votre domaine Microsoft AD géré, procédez comme suit :

    Console

    1. Dans la console Google Cloud , accédez à la page Service Microsoft AD géré.
      Accéder à Managed Microsoft AD
    2. Sur la page Domaines, sélectionnez un domaine dans la liste des instances pour activer LDAPS.
    3. Dans la section LDAPS de la page Détails du domaine, cliquez sur Configurer LDAPS.
    4. Dans le volet Configure LDAPS (Configurer LDAPS), saisissez l'emplacement du fichier PFX et le mot de passe que vous avez utilisé pour exporter le certificat au format PKCS #12, puis cliquez sur Configure LDAPS (Configurer LDAPS).

    gcloud

    Exécutez la commande de gcloud CLI suivante :

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    Remplacez les éléments suivants :

    • DOMAIN_NAME : nom complet de la ressource de votre domaine Microsoft AD géré. Format du nom de ressource complet : projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
    • PFX_FILENAME : fichier PFX au format PKCS #12 qui spécifie la chaîne de certificats utilisée pour configurer LDAPS.
    • PASSWORD : mot de passe utilisé pour chiffrer le certificat PKCS #12. Si vous ne spécifiez pas le mot de passe, vous serez invité à le saisir lors de l'exécution de la commande.

    Cette opération peut prendre jusqu'à 20 minutes. Pour mettre à jour le certificat, répétez ces étapes avec le fichier PFX mis à jour.

    Vérifier LDAPS

    Vous pouvez vérifier que LDAPS est activé en effectuant une liaison LDAPS. Ce processus utilise LDP.exe, qui est l'un des outils RSAT que vous installez lorsque vous associez une VM à un domaine.

    Sur une VM Windows Google Cloud associée à un domaine, procédez comme suit dans PowerShell :

    1. Dans PowerShell, démarrez LDP.exe, puis accédez à Connection > Connect (Connexion).

    2. Dans la boîte de dialogue Connect (Connexion), procédez comme suit :

      1. Dans le champ Serveur, saisissez votre nom de domaine.
      2. Dans le champ Port, saisissez 636.
      3. Cochez la case SSL.
      4. Cliquez sur OK.

      Si LDAPS est correctement activé, la connexion aboutit.

    Surveiller un certificat

    Vous pouvez afficher la valeur TTL (Time To Live) d'une chaîne de certificats dans Cloud Monitoring. La métrique cert_ttl indique le nombre de jours valides pour le certificat de la chaîne avec la date d'expiration la plus ancienne.

    Console

    Pour afficher les métriques d'une ressource surveillée à l'aide de l'explorateur de métriques, procédez comme suit :

    1. Dans la console Google Cloud , accédez à la page  Explorateur de métriques :

      Accéder à l'explorateur de métriques

      Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

    2. Dans la barre d'outils de la console Google Cloud , sélectionnez votre projet Google Cloud . Pour les configurations App Hub, sélectionnez le projet hôte App Hub ou le projet de gestion du dossier compatible avec les applications.
    3. Dans l'élément Métrique, développez le menu Sélectionner une métrique, saisissez LDAPS Certificate TTL dans la barre de filtre, puis utilisez les sous-menus pour sélectionner un type de ressource et des métriques spécifiques :
      1. Dans le menu Ressources actives, sélectionnez Domaine Microsoft Active Directory.
      2. Dans le menu Catégories de métriques actives, sélectionnez Microsoft_ad.
      3. Dans le menu Métriques actives, sélectionnez TTL du certificat LDAPS.
      4. Cliquez sur Appliquer.

    4. Pour ajouter des filtres qui suppriment des séries temporelles des résultats de la requête, utilisez l'élément Filtre.

    5. Pour combiner des séries temporelles, utilisez les menus de l'élément Agrégation. Par exemple, pour afficher l'utilisation du processeur pour vos VM en fonction de leur zone, définissez le premier menu sur Moyenne et le second sur zone.

      Toutes les séries temporelles sont affichées lorsque le premier menu de l'élément Agrégation est défini sur Non agrégé. Les paramètres par défaut de l'élément Aggregation (Agrégation) sont déterminés par le type de métrique que vous avez sélectionné.

    6. Pour le quota et les autres métriques qui indiquent un échantillon par jour, procédez comme suit :
      1. Dans le volet Affichage, définissez le type de widget sur Graphique à barres empilées.
      2. Définissez la période sur au moins une semaine.

    Vous pouvez également cliquer sur Surveillance dans la section LDAPS de la page Détails du domaine pour accéder à l'explorateur de métriques.

    Vous pouvez également utiliser l'éditeur de requête pour rechercher ces métriques.

    1. Dans l'onglet Métrique, sélectionnez Éditeur de requête.

    2. Dans le champ de texte de l'éditeur de requête, saisissez la requête MQL suivante, puis sélectionnez Exécuter la requête.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    Désactiver LDAPS

    Pour désactiver LDAPS, procédez comme suit :

    Console

    1. Dans la console Google Cloud , accédez à la page Service Microsoft AD géré.
      Accéder à Managed Microsoft AD
    2. Sur la page Domaines, sélectionnez le domaine de la liste des instances pour lequel vous souhaitez désactiver le certificat.
    3. Dans la section LDAPS de la page Détails du domaine, cliquez sur Désactiver.

    gcloud

    Exécutez la commande de gcloud CLI suivante :

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    Remplacez DOMAIN_NAME par le nom complet de ressource de votre domaine Managed Microsoft AD. Format du nom de ressource complet : projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

    Cette opération peut prendre jusqu'à 20 minutes. Pour réactiver LDAPS, vous devez réimporter les certificats.

    Étapes suivantes