Halaman ini menunjukkan cara mengaktifkan LDAP melalui SSL/TLS (LDAPS) untuk Layanan Terkelola untuk Microsoft Active Directory (Microsoft AD Terkelola) agar traffic LDAP Anda menjadi rahasia dan aman. Secara default, komunikasi antara Microsoft AD Terkelola dan aplikasi klien tidak dienkripsi untuk pengikatan LDAP sederhana.
Untuk mengaktifkan LDAPS, Anda harus memiliki sertifikat. Halaman ini juga menjelaskan spesifikasi untuk sertifikat yang diperlukan serta cara memverifikasi dan memantaunya.
Meminta sertifikat
Anda dapat meminta sertifikat dari Public Certificate Authority (CA), Enterprise CA, Certificate Authority Service Google Cloud, atau menggunakan sertifikat yang ditandatangani sendiri. Jika Anda menggunakan sertifikat yang ditandatangani sendiri, ikuti dokumentasi Microsoft yang ditautkan ke perintah PowerShell di bagian berikut.
Anda dapat membuat sertifikat yang ditandatangani sendiri dengan perintah New-SelfSignedCertificate
di Windows, OpenSSL, atau MakeCert.
Persyaratan sertifikat
Sertifikat Anda harus memenuhi persyaratan berikut:
- Tabel berikut menguraikan persyaratan untuk membuat sertifikat yang ditandatangani sendiri
dan mencantumkan parameter terkait yang digunakan dalam
perintah
New-SelfSignedCertificate
. Perhatikan bahwa nama parameter atau kolom dapat bervariasi berdasarkan cara Anda membuat sertifikat.
Parameter | Deskripsi |
---|---|
Subject (nama subjek) |
Nama ini harus berupa nama yang diawali dengan karakter pengganti dari domain Microsoft AD Terkelola Anda untuk memastikan layanan tetap tersedia selama proses upgrade atau pemulihan. Hal ini karena pengontrol domain menggunakan nama
acak yang berubah selama proses upgrade atau pemulihan. Misalnya, jika nama domain adalah ad.mycompany.com , nama subjeknya harus CN=*.ad.mycompany.com
|
DnsName (Nama DNS atau nama alternatif subjek) |
Parameter ini hanya boleh menyertakan hal berikut:"CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
|
KeySpec |
Nilai ini harus ditetapkan ke 1 yang menunjukkan bahwa parameter ini dapat digunakan untuk
tanda tangan digital dan pertukaran kunci.
|
KeyLength |
Ukuran kunci minimum bergantung pada algoritma kriptografi. |
KeyUsage |
Kunci ini harus menyertakan "tanda tangan digital" dan "encipherment kunci". |
TextExtension atau EnhancedKeyUsageExtension |
Kunci tersebut harus memiliki OID=1.3.6.1.5.5.7.3.1 untuk autentikasi server.
|
NotBefore |
Masa berlaku sertifikat. Sertifikat harus valid saat mengaktifkan LDAPS. |
NotAfter |
Waktu setelah sertifikat tidak valid. Sertifikat harus valid saat mengaktifkan LDAPS. |
KeyAlgorithm (algoritma tanda tangan) |
Algoritma tanda tangan yang lemah seperti SHA-1, MD2, MD5 tidak didukung. |
Rantai penerbit: Seluruh rantai sertifikat harus diupload dan harus valid. Rantai harus linier dan tidak boleh memiliki beberapa rantai.
Format sertifikat: Format harus memenuhi Public-Key Cryptography Standards (PKCS) #12. Anda harus menggunakan file PFX.
Permintaan dari CA Publik atau Enterprise CA
Untuk meminta sertifikat dari Public CA atau Enterprise CA, ikuti langkah-langkah ini.
Terima sertifikat di VM yang sama tempat permintaan dibuat.
Ekspor sertifikat dalam format PKCS #12
Untuk mengekspor sertifikat dalam format PKCS #12 (sebagai file PFX), selesaikan langkah-langkah berikut:
Di Windows, buka sertifikat Anda di Microsoft Management Console (MMC).
Luaskan Local Computer Certificates, lalu buka Personal > Certificates.
Klik kanan sertifikat yang Anda buat untuk mengaktifkan LDAPS, lalu pilih All Tasks > Export.
Pada dialog Certificate Export Wizard yang muncul, klik Next.
Di halaman Export Private Key, pilih Yes untuk mengekspor kunci pribadi.
Di halaman Export File Format, pilih kotak centang Personal Information Exchange - PKCS #12 (.PFX) dan memilih kotak centang Include all certificate in the certification path if mungkin. Klik Next.
Di halaman Keamanan, centang kotak Sandi, lalu masukkan sandi kuat untuk melindungi sertifikat. Klik Next. Sandi ini diperlukan saat mengonfigurasi LDAPS di domain Microsoft AD Terkelola Anda.
Di halaman File to Export, masukkan nama tujuan dan jalur untuk file PDF yang akan diekspor. Klik Next.
Klik Finish.
Untuk mengekspor sertifikat yang ditandatangani sendiri dengan kunci pribadi dalam format PKCS #12 sebagai file PFX, gunakan perintah Export-PfxCertificate
dan untuk mengekspor sertifikat yang ditandatangani sendiri sebagai file PEM, gunakan perintah Export-Certificate
.
Mendistribusikan rantai penerbit ke komputer klien
Agar LDAPS dapat berfungsi, semua komputer klien harus memercayai penerbit sertifikat LDAPS. Untuk CA Publik yang terkenal, komputer klien mungkin sudah memercayai rantai penerbit. Jika rantai tidak tepercaya, selesaikan langkah-langkah berikut untuk mengekspor rantai penerbit:
Di Windows, buka sertifikat Anda di Microsoft Management Console (MMC).
Luaskan Local Computer Certificates dan buka Personal > Certificates. Klik dua kali sertifikat LDAPS.
Di jendela Sertifikat, klik tab Jalur Sertifikasi.
Di tab Jalur Sertifikasi, pilih root certificate di jalur tersebut.
Klik Lihat Sertifikat.
Klik tab Details, lalu klik Copy to File...
Pada dialog Certificate Export Wizard yang muncul, pilih Base-64 encoding X.509, lalu klik Next.
Pilih nama file dan lokasi untuk rantai sertifikat tersebut, lalu klik Finish.
Untuk menyalin sertifikat ke komputer klien yang membuat koneksi LDAP, gunakan dialog Certificate Import Wizard untuk mengimpor sertifikat di penyimpanan "Local Machine". Atau, Anda dapat mendistribusikan rantai sertifikat penerbit otoritas ke komputer klien menggunakan Group Policy di Windows.
Untuk mengimpor sertifikat yang ditandatangani sendiri ke root store tepercaya mesin
lokal, gunakan perintah
Import-Certificate
.
Mengaktifkan LDAPS di domain Microsoft AD Terkelola
Sebelum mengaktifkan LDAPS di domain Microsoft AD Terkelola, lakukan hal berikut:
Pastikan Anda memiliki salah satu peran IAM berikut:
- Admin Identitas yang Dikelola Google Cloud (
roles/managedidentities.admin
) - Admin Domain Identitas yang Dikelola Google Cloud
(
roles/managedidentities.domainAdmin
)
Untuk mengetahui informasi selengkapnya tentang peran IAM Microsoft AD Terkelola, lihat Kontrol akses.
- Admin Identitas yang Dikelola Google Cloud (
Untuk mengaktifkan LDAPS di domain Microsoft AD Terkelola, selesaikan langkah-langkah berikut:
Konsol
- Di konsol Google Cloud, buka halaman Microsoft AD Terkelola.
Buka Microsoft AD Terkelola - Di halaman Domains, pilih domain dari daftar instance untuk mengaktifkan LDAPS.
- Di bagian LDAPS di halaman Domain details, klik Configure LDAPS.
- Di panel Configure LDAPS, masukkan lokasi file PFX dan sandi yang Anda gunakan untuk mengekspor sertifikat dalam format PKCS #12, lalu klik Configure LDAPS.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \ --certificate-pfx-file=PFX_FILENAME \ --certificate-password=PASSWORD
Ganti kode berikut:
- DOMAIN_NAME: Nama resource
lengkap domain Microsoft AD
Terkelola. Format nama resource lengkap:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME
. - PFX_FILENAME: File PFX berformat PKCS #12 yang menentukan rantai sertifikat yang digunakan untuk mengonfigurasi LDAPS.
- PASSWORD: Sandi yang digunakan untuk mengenkripsi sertifikat PKCS #12. Jika Anda tidak menentukan sandi, Anda akan diminta memasukkan sandi saat menjalankan perintah.
Operasi ini bisa memakan waktu hingga 20 menit. Untuk memperbarui sertifikat, ulangi langkah-langkah ini dengan file PFX yang telah diperbarui.
Memverifikasi LDAPS
Anda dapat memverifikasi bahwa LDAPS diaktifkan dengan melakukan pengikatan LDAPS. Proses ini menggunakan LDP.exe
, yang merupakan salah satu alat RSAT yang diinstal saat Anda menggabungkan VM ke domain.
Di VM Windows Google Cloud yang bergabung dengan domain, selesaikan langkah-langkah berikut di PowerShell:
Di PowerShell, mulai
LDP.exe
, lalu buka Connection > Connect.Pada dialog Connect, selesaikan langkah-langkah berikut:
- Di kolom Server, masukkan nama domain Anda.
- Di kolom Port, masukkan
636
. - Centang kotak SSL.
- Klik OK.
Jika LDAPS diaktifkan dengan benar, koneksi akan berhasil.
Memantau sertifikat
Anda dapat melihat Time to Live (TTL) untuk rantai sertifikat di Cloud Monitoring. Metrik cert_ttl
menunjukkan jumlah hari valid yang tersisa
untuk sertifikat dalam rantai dengan masa berlaku paling awal.
Konsol
Agar dapat menampilkan metrik untuk resource yang dipantau dengan menggunakan Metrics Explorer, lakukan hal berikut:
-
Di panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih leaderboard Metrics Explorer:
- Pada elemen Metrik, luaskan menu Pilih metrik, masukkan
LDAPS Certificate TTL
di panel filter, lalu gunakan submenu untuk memilih jenis dan metrik resource tertentu:- Di menu Active resources, pilih Microsoft Active Directory Domain.
- Di menu Active metric criteria, pilih Microsoft_ad.
- Di menu Active metrics, pilih LDAPS Certificate TTL.
- Klik Apply.
Untuk menghapus deret waktu dari tampilan, gunakan elemen Filter.
Untuk menggabungkan deret waktu, gunakan menu pada elemen Agregasi. Misalnya, untuk menampilkan pemakaian CPU bagi VM Anda, berdasarkan zonanya, tetapkan menu pertama ke Rataan dan menu kedua ke zona.
Semua deret waktu ditampilkan saat menu pertama elemen Agregasi ditetapkan ke Unaggregated. Setelan default untuk elemen Agregasi ditentukan oleh jenis metrik yang Anda pilih.
- Untuk kuota dan metrik lain yang melaporkan satu sampel per hari, lakukan tindakan berikut:
- Di panel Display, tetapkan Jenis widget ke Diagram batang bertumpuk.
- Tetapkan jangka waktu setidaknya satu minggu.
Anda juga dapat mengklik Monitoring di bagian LDAPS di halaman Domain details untuk membuka Metrics Explorer.
Anda juga dapat menggunakan Query Editor untuk menemukan metrik ini.
Di tab Metric, pilih Query Editor.
Di kolom teks Query Editor, masukkan kueri MQL berikut, lalu pilih Run Query.
fetch microsoft_ad_domain | metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl' | group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)] | every 1m | group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]
Nonaktifkan LDAPS
Untuk menonaktifkan LDAPS, selesaikan langkah-langkah berikut:
Konsol
- Di konsol Google Cloud, buka halaman Microsoft AD Terkelola.
Buka Microsoft AD Terkelola - Di halaman Domains, pilih domain dari daftar instance yang sertifikatnya ingin Anda nonaktifkan.
- Di bagian LDAPS pada halaman Domain details, klik Disable.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \ --clear-ldaps-certificate
Ganti DOMAIN_NAME dengan nama resource
lengkap domain Microsoft AD
Terkelola. Format nama resource lengkap:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME
.
Operasi ini bisa memakan waktu hingga 20 menit. Untuk mengaktifkan kembali LDAPS, Anda harus mengunggah kembali sertifikatnya.