Halaman ini menunjukkan cara mengaktifkan LDAP melalui SSL/TLS (LDAPS) untuk Managed Service for Microsoft Active Directory (Managed Microsoft AD) agar traffic LDAP Anda bersifat rahasia dan aman. Secara default, komunikasi antara Managed Microsoft AD dan aplikasi klien tidak dienkripsi untuk pengikatan LDAP sederhana.
Untuk mengaktifkan LDAPS, Anda harus memiliki sertifikat. Halaman ini juga menjelaskan spesifikasi untuk sertifikat yang diperlukan serta cara memverifikasi dan memantaunya.
Minta sertifikat
Anda dapat meminta sertifikat dari Certificate Authority (CA) Publik, CA Perusahaan, atau Google Cloud Certificate Authority Service atau menggunakan sertifikat yang ditandatangani sendiri. Jika Anda menggunakan sertifikat yang ditandatangani sendiri, ikuti dokumentasi Microsoft yang ditautkan ke perintah PowerShell di bagian berikut.
Anda dapat membuat sertifikat yang ditandatangani sendiri dengan perintah New-SelfSignedCertificate
di Windows, OpenSSL, atau MakeCert.
Persyaratan sertifikat
Sertifikat Anda harus memenuhi persyaratan berikut:
- Tabel berikut menguraikan persyaratan untuk membuat sertifikat yang ditandatangani sendiri dan mencantumkan parameter terkait yang digunakan dalam perintah
New-SelfSignedCertificate
. Perhatikan bahwa nama parameter atau kolom dapat bervariasi berdasarkan cara Anda membuat sertifikat.
Parameter | Deskripsi |
---|---|
Subject (nama subjek) |
Nama tersebut harus berupa nama yang diawali dengan karakter pengganti dari domain Managed Microsoft AD Anda untuk memastikan layanan tetap tersedia selama proses upgrade atau pemulihan. Hal ini karena pengontrol domain menggunakan nama acak yang berubah selama proses upgrade atau pemulihan. Misalnya, jika nama domainnya adalah ad.mycompany.com , nama subjek harus CN=*.ad.mycompany.com
|
DnsName (nama DNS atau nama alternatif subjek) |
Harus hanya mencakup hal berikut:"CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
|
KeySpec |
Nilainya harus ditetapkan ke 1 yang menunjukkan bahwa kunci tersebut dapat digunakan untuk
pertukaran kunci dan tanda tangan digital.
|
KeyLength |
Ukuran kunci minimum bergantung pada algoritma kriptografi. |
KeyUsage |
Sertifikat harus mencakup "tanda tangan digital" dan "enkripsi kunci". |
TextExtension atau EnhancedKeyUsageExtension |
Harus memiliki OID=1.3.6.1.5.5.7.3.1 untuk
autentikasi server.
|
NotBefore |
Waktu mulai berlakunya sertifikat. Sertifikat harus valid saat mengaktifkan LDAPS. |
NotAfter |
Waktu setelah sertifikat tidak valid. Sertifikat harus valid saat mengaktifkan LDAPS. |
KeyAlgorithm (algoritma tanda tangan) |
Algoritma tanda tangan yang lemah seperti SHA-1, MD2, MD5 tidak didukung. |
Rantai penerbit: Seluruh rantai sertifikat harus diupload dan harus valid. Rantai harus linier dan tidak boleh memiliki beberapa rantai.
Format sertifikat: Format harus memenuhi Standar Kriptografi Kunci Publik (PKCS) #12. Anda harus menggunakan file PFX.
Permintaan dari CA Publik atau CA Enterprise
Untuk meminta sertifikat dari CA Publik atau CA Perusahaan, ikuti langkah-langkah berikut.
Terima sertifikat di VM yang sama tempat permintaan dibuat.
Mengekspor sertifikat dalam format PKCS #12
Untuk mengekspor sertifikat dalam format PKCS #12 (sebagai file PFX), selesaikan langkah-langkah berikut:
Di Windows, buka sertifikat Anda di Microsoft Management Console (MMC).
Perluas Local Computer Certificates, lalu buka Personal > Certificates.
Klik kanan sertifikat yang Anda buat untuk mengaktifkan LDAPS, lalu pilih Semua Tugas > Ekspor.
Pada dialog Certificate Export Wizard yang muncul, klik Next.
Di halaman Export Private Key, pilih Yes untuk mengekspor kunci pribadi.
Di halaman Export File Format, centang kotak Personal Information Exchange - PKCS #12 (.PFX) dan Include all certificates in the certification path if possible. Klik Next.
Di halaman Keamanan, pilih kotak centang Sandi dan masukkan sandi yang kuat untuk melindungi sertifikat. Klik Berikutnya. Sandi ini diperlukan saat mengonfigurasi LDAPS di domain Managed Microsoft AD Anda.
Di halaman File to Export, masukkan nama dan jalur tujuan untuk file PFX yang akan diekspor. Klik Next.
Klik Selesai.
Untuk mengekspor sertifikat yang ditandatangani sendiri dengan kunci pribadi dalam format PKCS #12 sebagai file PFX, gunakan perintah Export-PfxCertificate
dan untuk mengekspor sertifikat yang ditandatangani sendiri sebagai file PEM, gunakan perintah Export-Certificate
.
Mendistribusikan rantai penerbit ke komputer klien
Agar LDAPS berfungsi, semua komputer klien harus memercayai penerbit sertifikat LDAPS. Untuk CA Publik yang terkenal, komputer klien mungkin sudah memercayai rantai penerbit. Jika rantai tidak dipercaya, selesaikan langkah-langkah berikut untuk mengekspor rantai penerbit:
Di Windows, buka sertifikat Anda di Microsoft Management Console (MMC).
Perluas Local Computer Certificates dan buka Personal > Certificates. Klik dua kali sertifikat LDAPS.
Di jendela Certificate, klik tab Certification Path.
Pada tab Jalur Sertifikasi, pilih sertifikat root di jalur.
Klik Lihat Sertifikat.
Klik tab Detail, lalu klik Salin ke File...
Dalam dialog Certificate Export Wizard yang muncul, pilih Base-64 encoded X.509, lalu klik Next.
Pilih nama file dan lokasi untuk rantai sertifikat, lalu klik Selesai.
Untuk menyalin sertifikat ke komputer klien yang membuat koneksi LDAPS, gunakan dialog Certificate Import Wizard untuk mengimpor sertifikat di penyimpanan "Local Machine". Atau, Anda dapat mendistribusikan rantai sertifikat otoritas penerbit ke komputer klien menggunakan Kebijakan Grup di Windows.
Untuk mengimpor sertifikat yang ditandatangani sendiri ke penyimpanan root tepercaya di komputer lokal, gunakan perintah Import-Certificate
.
Mengaktifkan LDAPS di domain Microsoft AD Terkelola
Sebelum mengaktifkan LDAPS di domain Managed Microsoft AD, lakukan hal berikut:
Pastikan Anda memiliki salah satu peran IAM berikut:
- Google Cloud Managed Identities Admin (
roles/managedidentities.admin
) - Google Cloud Managed Identities Domain Admin
(
roles/managedidentities.domainAdmin
)
Untuk mengetahui informasi selengkapnya tentang peran IAM Managed Microsoft AD, lihat Kontrol akses.
- Google Cloud Managed Identities Admin (
Untuk mengaktifkan LDAPS di domain Managed Microsoft AD Anda, selesaikan langkah-langkah berikut:
Konsol
- Di konsol Google Cloud , buka halaman Managed Microsoft AD.
Buka Managed Microsoft AD - Di halaman Domains, pilih domain dari daftar instance untuk mengaktifkan LDAPS.
- Di bagian LDAPS pada halaman Detail domain, klik Konfigurasi LDAPS.
- Di panel Configure LDAPS, masukkan lokasi file PFX dan sandi yang Anda gunakan untuk mengekspor sertifikat dalam format PKCS #12, lalu klik Configure LDAPS.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \ --certificate-pfx-file=PFX_FILENAME \ --certificate-password=PASSWORD
Ganti kode berikut:
- DOMAIN_NAME: Nama resource lengkap
domain Managed Microsoft AD Anda. Format nama lengkap resource:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME
. - PFX_FILENAME: File PFX berformat PKCS #12 yang menentukan rantai sertifikat yang digunakan untuk mengonfigurasi LDAPS.
- PASSWORD: Sandi yang digunakan untuk mengenkripsi sertifikat PKCS #12. Jika Anda tidak menentukan sandi, perintah akan meminta sandi saat menjalankan perintah.
Operasi ini dapat memerlukan waktu hingga 20 menit untuk diselesaikan. Untuk memperbarui sertifikat, ulangi langkah-langkah ini dengan file PFX yang diperbarui.
Memverifikasi LDAPS
Anda dapat memverifikasi bahwa LDAPS diaktifkan dengan melakukan pengikatan LDAPS. Proses ini menggunakan LDP.exe
, yang merupakan salah satu alat RSAT yang Anda instal saat menggabungkan VM ke domain.
Di VM Windows yang bergabung ke domain, selesaikan langkah-langkah berikut di PowerShell: Google Cloud
Di PowerShell, mulai
LDP.exe
dan buka Connection > Connect.Dalam dialog Connect, selesaikan langkah-langkah berikut:
- Di kolom Server, masukkan nama domain Anda.
- Di kolom Port, masukkan
636
. - Centang kotak SSL.
- Klik Oke.
Jika LDAPS diaktifkan dengan benar, koneksi akan berhasil.
Memantau sertifikat
Anda dapat melihat Time to Live (TTL) untuk rantai sertifikat di
Cloud Monitoring. Metrik cert_ttl
menampilkan jumlah hari valid yang tersisa untuk sertifikat dalam rantai dengan masa berlaku paling awal.
Konsol
Untuk melihat metrik untuk resource yang dimonitor menggunakan Metrics Explorer, lakukan langkah berikut:
-
Di konsol Google Cloud , buka halaman leaderboard Metrics explorer:
Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.
- Di toolbar konsol Google Cloud , pilih project Google Cloud Anda. Untuk konfigurasi App Hub, pilih project host App Hub atau project pengelolaan folder yang mendukung aplikasi.
- Pada elemen Metrik, luaskan menu Pilih metrik, masukkan
LDAPS Certificate TTL
di panel filter, lalu gunakan submenu untuk memilih jenis dan metrik resource tertentu:- Di menu Active resources, pilih Microsoft Active Directory Domain.
- Di menu Active metric categories, pilih Microsoft_ad.
- Di menu Active metrics, pilih LDAPS Certificate TTL.
- Klik Terapkan.
Untuk menambahkan filter, yang menghapus deret waktu dari hasil kueri, gunakan elemen Filter.
Untuk menggabungkan deret waktu, gunakan menu pada elemen Agregasi. Misalnya, untuk menampilkan pemakaian CPU bagi VM Anda, berdasarkan zonanya, tetapkan menu pertama ke Rataan dan menu kedua ke zona.
Semua deret waktu ditampilkan saat menu pertama elemen Agregasi ditetapkan ke Unaggregated. Setelan default untuk elemen Agregasi ditentukan oleh jenis metrik yang Anda pilih.
- Untuk kuota dan metrik lain yang melaporkan satu sampel per hari, lakukan tindakan berikut:
- Di panel Display, tetapkan Jenis widget ke Diagram batang bertumpuk.
- Tetapkan jangka waktu setidaknya satu minggu.
Anda juga dapat mengklik Monitoring di bagian LDAPS pada halaman Detail domain untuk membuka Metrics Explorer.
Anda juga dapat menggunakan Editor Kueri untuk menemukan metrik ini.
Di tab Metrik, pilih Editor Kueri.
Di kolom teks Editor Kueri, masukkan kueri MQL berikut dan pilih Jalankan Kueri.
fetch microsoft_ad_domain | metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl' | group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)] | every 1m | group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]
Menonaktifkan LDAPS
Untuk menonaktifkan LDAPS, selesaikan langkah-langkah berikut:
Konsol
- Di konsol Google Cloud , buka halaman Managed Microsoft AD.
Buka Managed Microsoft AD - Di halaman Domains, pilih domain dari daftar instance yang sertifikatnya ingin Anda nonaktifkan.
- Di bagian LDAPS pada halaman Detail domain, klik Nonaktifkan.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \ --clear-ldaps-certificate
Ganti DOMAIN_NAME dengan nama resource
lengkap domain Managed Microsoft AD
Anda. Format nama lengkap resource:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME
.
Operasi ini dapat memerlukan waktu hingga 20 menit untuk diselesaikan. Untuk mengaktifkan kembali LDAPS, Anda harus mengupload ulang sertifikat.