Mengaktifkan LDAPS

Halaman ini menunjukkan cara mengaktifkan LDAP melalui SSL/TLS (LDAPS) untuk Managed Service for Microsoft Active Directory (Managed Microsoft AD) agar traffic LDAP Anda bersifat rahasia dan aman. Secara default, komunikasi antara Managed Microsoft AD dan aplikasi klien tidak dienkripsi untuk pengikatan LDAP sederhana.

Untuk mengaktifkan LDAPS, Anda harus memiliki sertifikat. Halaman ini juga menjelaskan spesifikasi untuk sertifikat yang diperlukan serta cara memverifikasi dan memantaunya.

Minta sertifikat

Anda dapat meminta sertifikat dari Certificate Authority (CA) Publik, CA Perusahaan, atau Google Cloud Certificate Authority Service atau menggunakan sertifikat yang ditandatangani sendiri. Jika Anda menggunakan sertifikat yang ditandatangani sendiri, ikuti dokumentasi Microsoft yang ditautkan ke perintah PowerShell di bagian berikut.

Anda dapat membuat sertifikat yang ditandatangani sendiri dengan perintah New-SelfSignedCertificate di Windows, OpenSSL, atau MakeCert.

Persyaratan sertifikat

Sertifikat Anda harus memenuhi persyaratan berikut:

  • Tabel berikut menguraikan persyaratan untuk membuat sertifikat yang ditandatangani sendiri dan mencantumkan parameter terkait yang digunakan dalam perintah New-SelfSignedCertificate. Perhatikan bahwa nama parameter atau kolom dapat bervariasi berdasarkan cara Anda membuat sertifikat.
Parameter Deskripsi
Subject (nama subjek) Nama tersebut harus berupa nama yang diawali dengan karakter pengganti dari domain Managed Microsoft AD Anda untuk memastikan layanan tetap tersedia selama proses upgrade atau pemulihan. Hal ini karena pengontrol domain menggunakan nama acak yang berubah selama proses upgrade atau pemulihan. Misalnya, jika nama domainnya adalah ad.mycompany.com, nama subjek harus CN=*.ad.mycompany.com
DnsName (nama DNS atau nama alternatif subjek) Harus hanya mencakup hal berikut:
  • Nama karakter pengganti domain Microsoft AD Terkelola Anda
  • Nama domain Microsoft AD Terkelola
    • Contoh, "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
    KeySpec Nilainya harus ditetapkan ke 1 yang menunjukkan bahwa kunci tersebut dapat digunakan untuk pertukaran kunci dan tanda tangan digital.
    KeyLength Ukuran kunci minimum bergantung pada algoritma kriptografi.
  • RSA: Minimal 2048 bit
  • ECDSA: Minimal 256 bit
  • ED25519: 512 bit (Panjang tetap)
    		•
    KeyUsage Sertifikat harus mencakup "tanda tangan digital" dan "enkripsi kunci".
    TextExtension atau EnhancedKeyUsageExtension Harus memiliki OID=1.3.6.1.5.5.7.3.1 untuk autentikasi server.
    NotBefore Waktu mulai berlakunya sertifikat. Sertifikat harus valid saat mengaktifkan LDAPS.
    NotAfter Waktu setelah sertifikat tidak valid. Sertifikat harus valid saat mengaktifkan LDAPS.
    KeyAlgorithm (algoritma tanda tangan) Algoritma tanda tangan yang lemah seperti SHA-1, MD2, MD5 tidak didukung.

    • Rantai penerbit: Seluruh rantai sertifikat harus diupload dan harus valid. Rantai harus linier dan tidak boleh memiliki beberapa rantai.

    • Format sertifikat: Format harus memenuhi Standar Kriptografi Kunci Publik (PKCS) #12. Anda harus menggunakan file PFX.

    Permintaan dari CA Publik atau CA Enterprise

    Untuk meminta sertifikat dari CA Publik atau CA Perusahaan, ikuti langkah-langkah berikut.

    Terima sertifikat di VM yang sama tempat permintaan dibuat.

    Mengekspor sertifikat dalam format PKCS #12

    Untuk mengekspor sertifikat dalam format PKCS #12 (sebagai file PFX), selesaikan langkah-langkah berikut:

    1. Di Windows, buka sertifikat Anda di Microsoft Management Console (MMC).

    2. Perluas Local Computer Certificates, lalu buka Personal > Certificates.

    3. Klik kanan sertifikat yang Anda buat untuk mengaktifkan LDAPS, lalu pilih Semua Tugas > Ekspor.

    4. Pada dialog Certificate Export Wizard yang muncul, klik Next.

    5. Di halaman Export Private Key, pilih Yes untuk mengekspor kunci pribadi.

    6. Di halaman Export File Format, centang kotak Personal Information Exchange - PKCS #12 (.PFX) dan Include all certificates in the certification path if possible. Klik Next.

    7. Di halaman Keamanan, pilih kotak centang Sandi dan masukkan sandi yang kuat untuk melindungi sertifikat. Klik Berikutnya. Sandi ini diperlukan saat mengonfigurasi LDAPS di domain Managed Microsoft AD Anda.

    8. Di halaman File to Export, masukkan nama dan jalur tujuan untuk file PFX yang akan diekspor. Klik Next.

    9. Klik Selesai.

    Untuk mengekspor sertifikat yang ditandatangani sendiri dengan kunci pribadi dalam format PKCS #12 sebagai file PFX, gunakan perintah Export-PfxCertificate dan untuk mengekspor sertifikat yang ditandatangani sendiri sebagai file PEM, gunakan perintah Export-Certificate.

    Mendistribusikan rantai penerbit ke komputer klien

    Agar LDAPS berfungsi, semua komputer klien harus memercayai penerbit sertifikat LDAPS. Untuk CA Publik yang terkenal, komputer klien mungkin sudah memercayai rantai penerbit. Jika rantai tidak dipercaya, selesaikan langkah-langkah berikut untuk mengekspor rantai penerbit:

    1. Di Windows, buka sertifikat Anda di Microsoft Management Console (MMC).

    2. Perluas Local Computer Certificates dan buka Personal > Certificates. Klik dua kali sertifikat LDAPS.

    3. Di jendela Certificate, klik tab Certification Path.

    4. Pada tab Jalur Sertifikasi, pilih sertifikat root di jalur.

    5. Klik Lihat Sertifikat.

    6. Klik tab Detail, lalu klik Salin ke File...

    7. Dalam dialog Certificate Export Wizard yang muncul, pilih Base-64 encoded X.509, lalu klik Next.

    8. Pilih nama file dan lokasi untuk rantai sertifikat, lalu klik Selesai.

    9. Untuk menyalin sertifikat ke komputer klien yang membuat koneksi LDAPS, gunakan dialog Certificate Import Wizard untuk mengimpor sertifikat di penyimpanan "Local Machine". Atau, Anda dapat mendistribusikan rantai sertifikat otoritas penerbit ke komputer klien menggunakan Kebijakan Grup di Windows.

    Untuk mengimpor sertifikat yang ditandatangani sendiri ke penyimpanan root tepercaya di komputer lokal, gunakan perintah Import-Certificate.

    Mengaktifkan LDAPS di domain Microsoft AD Terkelola

    Sebelum mengaktifkan LDAPS di domain Managed Microsoft AD, lakukan hal berikut:

    1. Pastikan Anda memiliki salah satu peran IAM berikut:

      • Google Cloud Managed Identities Admin (roles/managedidentities.admin)
      • Google Cloud Managed Identities Domain Admin (roles/managedidentities.domainAdmin)

      Untuk mengetahui informasi selengkapnya tentang peran IAM Managed Microsoft AD, lihat Kontrol akses.

    Untuk mengaktifkan LDAPS di domain Managed Microsoft AD Anda, selesaikan langkah-langkah berikut:

    Konsol

    1. Di konsol Google Cloud , buka halaman Managed Microsoft AD.
      Buka Managed Microsoft AD
    2. Di halaman Domains, pilih domain dari daftar instance untuk mengaktifkan LDAPS.
    3. Di bagian LDAPS pada halaman Detail domain, klik Konfigurasi LDAPS.
    4. Di panel Configure LDAPS, masukkan lokasi file PFX dan sandi yang Anda gunakan untuk mengekspor sertifikat dalam format PKCS #12, lalu klik Configure LDAPS.

    gcloud

    Jalankan perintah gcloud CLI berikut:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    Ganti kode berikut:

    • DOMAIN_NAME: Nama resource lengkap domain Managed Microsoft AD Anda. Format nama lengkap resource: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
    • PFX_FILENAME: File PFX berformat PKCS #12 yang menentukan rantai sertifikat yang digunakan untuk mengonfigurasi LDAPS.
    • PASSWORD: Sandi yang digunakan untuk mengenkripsi sertifikat PKCS #12. Jika Anda tidak menentukan sandi, perintah akan meminta sandi saat menjalankan perintah.

    Operasi ini dapat memerlukan waktu hingga 20 menit untuk diselesaikan. Untuk memperbarui sertifikat, ulangi langkah-langkah ini dengan file PFX yang diperbarui.

    Memverifikasi LDAPS

    Anda dapat memverifikasi bahwa LDAPS diaktifkan dengan melakukan pengikatan LDAPS. Proses ini menggunakan LDP.exe, yang merupakan salah satu alat RSAT yang Anda instal saat menggabungkan VM ke domain.

    Di VM Windows yang bergabung ke domain, selesaikan langkah-langkah berikut di PowerShell: Google Cloud

    1. Di PowerShell, mulai LDP.exe dan buka Connection > Connect.

    2. Dalam dialog Connect, selesaikan langkah-langkah berikut:

      1. Di kolom Server, masukkan nama domain Anda.
      2. Di kolom Port, masukkan 636.
      3. Centang kotak SSL.
      4. Klik Oke.

      Jika LDAPS diaktifkan dengan benar, koneksi akan berhasil.

    Memantau sertifikat

    Anda dapat melihat Time to Live (TTL) untuk rantai sertifikat di Cloud Monitoring. Metrik cert_ttl menampilkan jumlah hari valid yang tersisa untuk sertifikat dalam rantai dengan masa berlaku paling awal.

    Konsol

    Untuk melihat metrik untuk resource yang dimonitor menggunakan Metrics Explorer, lakukan langkah berikut:

    1. Di konsol Google Cloud , buka halaman  Metrics explorer:

      Buka Metrics explorer

      Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

    2. Di toolbar konsol Google Cloud , pilih project Google Cloud Anda. Untuk konfigurasi App Hub, pilih project host App Hub atau project pengelolaan folder yang mendukung aplikasi.
    3. Pada elemen Metrik, luaskan menu Pilih metrik, masukkan LDAPS Certificate TTL di panel filter, lalu gunakan submenu untuk memilih jenis dan metrik resource tertentu:
      1. Di menu Active resources, pilih Microsoft Active Directory Domain.
      2. Di menu Active metric categories, pilih Microsoft_ad.
      3. Di menu Active metrics, pilih LDAPS Certificate TTL.
      4. Klik Terapkan.

    4. Untuk menambahkan filter, yang menghapus deret waktu dari hasil kueri, gunakan elemen Filter.

    5. Untuk menggabungkan deret waktu, gunakan menu pada elemen Agregasi. Misalnya, untuk menampilkan pemakaian CPU bagi VM Anda, berdasarkan zonanya, tetapkan menu pertama ke Rataan dan menu kedua ke zona.

      Semua deret waktu ditampilkan saat menu pertama elemen Agregasi ditetapkan ke Unaggregated. Setelan default untuk elemen Agregasi ditentukan oleh jenis metrik yang Anda pilih.

    6. Untuk kuota dan metrik lain yang melaporkan satu sampel per hari, lakukan tindakan berikut:
      1. Di panel Display, tetapkan Jenis widget ke Diagram batang bertumpuk.
      2. Tetapkan jangka waktu setidaknya satu minggu.

    Anda juga dapat mengklik Monitoring di bagian LDAPS pada halaman Detail domain untuk membuka Metrics Explorer.

    Anda juga dapat menggunakan Editor Kueri untuk menemukan metrik ini.

    1. Di tab Metrik, pilih Editor Kueri.

    2. Di kolom teks Editor Kueri, masukkan kueri MQL berikut dan pilih Jalankan Kueri.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    Menonaktifkan LDAPS

    Untuk menonaktifkan LDAPS, selesaikan langkah-langkah berikut:

    Konsol

    1. Di konsol Google Cloud , buka halaman Managed Microsoft AD.
      Buka Managed Microsoft AD
    2. Di halaman Domains, pilih domain dari daftar instance yang sertifikatnya ingin Anda nonaktifkan.
    3. Di bagian LDAPS pada halaman Detail domain, klik Nonaktifkan.

    gcloud

    Jalankan perintah gcloud CLI berikut:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    Ganti DOMAIN_NAME dengan nama resource lengkap domain Managed Microsoft AD Anda. Format nama lengkap resource: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

    Operasi ini dapat memerlukan waktu hingga 20 menit untuk diselesaikan. Untuk mengaktifkan kembali LDAPS, Anda harus mengupload ulang sertifikat.

    Langkah berikutnya