Aktifkan LDAPS

Halaman ini menunjukkan cara mengaktifkan LDAP melalui SSL/TLS (LDAPS) untuk Layanan Terkelola untuk Microsoft Active Directory (Microsoft AD Terkelola) agar traffic LDAP Anda menjadi rahasia dan aman. Secara default, komunikasi antara Microsoft AD Terkelola dan aplikasi klien tidak dienkripsi untuk pengikatan LDAP sederhana.

Untuk mengaktifkan LDAPS, Anda harus memiliki sertifikat. Halaman ini juga menjelaskan spesifikasi untuk sertifikat yang diperlukan serta cara memverifikasi dan memantaunya.

Meminta sertifikat

Anda dapat meminta sertifikat dari Public Certificate Authority (CA), Enterprise CA, Certificate Authority Service Google Cloud, atau menggunakan sertifikat yang ditandatangani sendiri. Jika Anda menggunakan sertifikat yang ditandatangani sendiri, ikuti dokumentasi Microsoft yang ditautkan ke perintah PowerShell di bagian berikut.

Anda dapat membuat sertifikat yang ditandatangani sendiri dengan perintah New-SelfSignedCertificate di Windows, OpenSSL, atau MakeCert.

Persyaratan sertifikat

Sertifikat Anda harus memenuhi persyaratan berikut:

  • Tabel berikut menguraikan persyaratan untuk membuat sertifikat yang ditandatangani sendiri dan mencantumkan parameter terkait yang digunakan dalam perintah New-SelfSignedCertificate. Perhatikan bahwa nama parameter atau kolom dapat bervariasi berdasarkan cara Anda membuat sertifikat.
Parameter Deskripsi
Subject (nama subjek) Nama ini harus berupa nama yang diawali dengan karakter pengganti dari domain Microsoft AD Terkelola Anda untuk memastikan layanan tetap tersedia selama proses upgrade atau pemulihan. Hal ini karena pengontrol domain menggunakan nama acak yang berubah selama proses upgrade atau pemulihan. Misalnya, jika nama domain adalah ad.mycompany.com, nama subjeknya harus CN=*.ad.mycompany.com
DnsName (Nama DNS atau nama alternatif subjek) Parameter ini hanya boleh menyertakan hal berikut:
  • Nama karakter pengganti domain Microsoft AD Terkelola Anda
  • Nama domain Microsoft AD terkelola
    • Contoh, "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
    KeySpec Nilai ini harus ditetapkan ke 1 yang menunjukkan bahwa parameter ini dapat digunakan untuk tanda tangan digital dan pertukaran kunci.
    KeyLength Ukuran kunci minimum bergantung pada algoritma kriptografi.
  • RSA: Setidaknya 2048 bit
  • ECDSA: Setidaknya 256 bit
  • ED25519: 512 bit (Panjang tetap)
    		•
    KeyUsage Kunci ini harus menyertakan "tanda tangan digital" dan "encipherment kunci".
    TextExtension atau EnhancedKeyUsageExtension Kunci tersebut harus memiliki OID=1.3.6.1.5.5.7.3.1 untuk autentikasi server.
    NotBefore Masa berlaku sertifikat. Sertifikat harus valid saat mengaktifkan LDAPS.
    NotAfter Waktu setelah sertifikat tidak valid. Sertifikat harus valid saat mengaktifkan LDAPS.
    KeyAlgorithm (algoritma tanda tangan) Algoritma tanda tangan yang lemah seperti SHA-1, MD2, MD5 tidak didukung.

    • Rantai penerbit: Seluruh rantai sertifikat harus diupload dan harus valid. Rantai harus linier dan tidak boleh memiliki beberapa rantai.

    • Format sertifikat: Format harus memenuhi Public-Key Cryptography Standards (PKCS) #12. Anda harus menggunakan file PFX.

    Permintaan dari CA Publik atau Enterprise CA

    Untuk meminta sertifikat dari Public CA atau Enterprise CA, ikuti langkah-langkah ini.

    Terima sertifikat di VM yang sama tempat permintaan dibuat.

    Ekspor sertifikat dalam format PKCS #12

    Untuk mengekspor sertifikat dalam format PKCS #12 (sebagai file PFX), selesaikan langkah-langkah berikut:

    1. Di Windows, buka sertifikat Anda di Microsoft Management Console (MMC).

    2. Luaskan Local Computer Certificates, lalu buka Personal > Certificates.

    3. Klik kanan sertifikat yang Anda buat untuk mengaktifkan LDAPS, lalu pilih All Tasks > Export.

    4. Pada dialog Certificate Export Wizard yang muncul, klik Next.

    5. Di halaman Export Private Key, pilih Yes untuk mengekspor kunci pribadi.

    6. Di halaman Export File Format, pilih kotak centang Personal Information Exchange - PKCS #12 (.PFX) dan memilih kotak centang Include all certificate in the certification path if mungkin. Klik Next.

    7. Di halaman Keamanan, centang kotak Sandi, lalu masukkan sandi kuat untuk melindungi sertifikat. Klik Next. Sandi ini diperlukan saat mengonfigurasi LDAPS di domain Microsoft AD Terkelola Anda.

    8. Di halaman File to Export, masukkan nama tujuan dan jalur untuk file PDF yang akan diekspor. Klik Next.

    9. Klik Finish.

    Untuk mengekspor sertifikat yang ditandatangani sendiri dengan kunci pribadi dalam format PKCS #12 sebagai file PFX, gunakan perintah Export-PfxCertificate dan untuk mengekspor sertifikat yang ditandatangani sendiri sebagai file PEM, gunakan perintah Export-Certificate.

    Mendistribusikan rantai penerbit ke komputer klien

    Agar LDAPS dapat berfungsi, semua komputer klien harus memercayai penerbit sertifikat LDAPS. Untuk CA Publik yang terkenal, komputer klien mungkin sudah memercayai rantai penerbit. Jika rantai tidak tepercaya, selesaikan langkah-langkah berikut untuk mengekspor rantai penerbit:

    1. Di Windows, buka sertifikat Anda di Microsoft Management Console (MMC).

    2. Luaskan Local Computer Certificates dan buka Personal > Certificates. Klik dua kali sertifikat LDAPS.

    3. Di jendela Sertifikat, klik tab Jalur Sertifikasi.

    4. Di tab Jalur Sertifikasi, pilih root certificate di jalur tersebut.

    5. Klik Lihat Sertifikat.

    6. Klik tab Details, lalu klik Copy to File...

    7. Pada dialog Certificate Export Wizard yang muncul, pilih Base-64 encoding X.509, lalu klik Next.

    8. Pilih nama file dan lokasi untuk rantai sertifikat tersebut, lalu klik Finish.

    9. Untuk menyalin sertifikat ke komputer klien yang membuat koneksi LDAP, gunakan dialog Certificate Import Wizard untuk mengimpor sertifikat di penyimpanan "Local Machine". Atau, Anda dapat mendistribusikan rantai sertifikat penerbit otoritas ke komputer klien menggunakan Group Policy di Windows.

    Untuk mengimpor sertifikat yang ditandatangani sendiri ke root store tepercaya mesin lokal, gunakan perintah Import-Certificate.

    Mengaktifkan LDAPS di domain Microsoft AD Terkelola

    Sebelum mengaktifkan LDAPS di domain Microsoft AD Terkelola, lakukan hal berikut:

    1. Pastikan Anda memiliki salah satu peran IAM berikut:

      • Admin Identitas yang Dikelola Google Cloud (roles/managedidentities.admin)
      • Admin Domain Identitas yang Dikelola Google Cloud (roles/managedidentities.domainAdmin)

      Untuk mengetahui informasi selengkapnya tentang peran IAM Microsoft AD Terkelola, lihat Kontrol akses.

    Untuk mengaktifkan LDAPS di domain Microsoft AD Terkelola, selesaikan langkah-langkah berikut:

    Konsol

    1. Di konsol Google Cloud, buka halaman Microsoft AD Terkelola.
      Buka Microsoft AD Terkelola
    2. Di halaman Domains, pilih domain dari daftar instance untuk mengaktifkan LDAPS.
    3. Di bagian LDAPS di halaman Domain details, klik Configure LDAPS.
    4. Di panel Configure LDAPS, masukkan lokasi file PFX dan sandi yang Anda gunakan untuk mengekspor sertifikat dalam format PKCS #12, lalu klik Configure LDAPS.

    gcloud

    Jalankan perintah gcloud CLI berikut:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    Ganti kode berikut:

    • DOMAIN_NAME: Nama resource lengkap domain Microsoft AD Terkelola. Format nama resource lengkap: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
    • PFX_FILENAME: File PFX berformat PKCS #12 yang menentukan rantai sertifikat yang digunakan untuk mengonfigurasi LDAPS.
    • PASSWORD: Sandi yang digunakan untuk mengenkripsi sertifikat PKCS #12. Jika Anda tidak menentukan sandi, Anda akan diminta memasukkan sandi saat menjalankan perintah.

    Operasi ini bisa memakan waktu hingga 20 menit. Untuk memperbarui sertifikat, ulangi langkah-langkah ini dengan file PFX yang telah diperbarui.

    Memverifikasi LDAPS

    Anda dapat memverifikasi bahwa LDAPS diaktifkan dengan melakukan pengikatan LDAPS. Proses ini menggunakan LDP.exe, yang merupakan salah satu alat RSAT yang diinstal saat Anda menggabungkan VM ke domain.

    Di VM Windows Google Cloud yang bergabung dengan domain, selesaikan langkah-langkah berikut di PowerShell:

    1. Di PowerShell, mulai LDP.exe, lalu buka Connection > Connect.

    2. Pada dialog Connect, selesaikan langkah-langkah berikut:

      1. Di kolom Server, masukkan nama domain Anda.
      2. Di kolom Port, masukkan 636.
      3. Centang kotak SSL.
      4. Klik OK.

      Jika LDAPS diaktifkan dengan benar, koneksi akan berhasil.

    Memantau sertifikat

    Anda dapat melihat Time to Live (TTL) untuk rantai sertifikat di Cloud Monitoring. Metrik cert_ttl menunjukkan jumlah hari valid yang tersisa untuk sertifikat dalam rantai dengan masa berlaku paling awal.

    Konsol

    Agar dapat menampilkan metrik untuk resource yang dipantau dengan menggunakan Metrics Explorer, lakukan hal berikut:

    1. Di panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih  Metrics Explorer:

      Buka Metrics Explorer

    2. Pada elemen Metrik, luaskan menu Pilih metrik, masukkan LDAPS Certificate TTL di panel filter, lalu gunakan submenu untuk memilih jenis dan metrik resource tertentu:
      1. Di menu Active resources, pilih Microsoft Active Directory Domain.
      2. Di menu Active metric criteria, pilih Microsoft_ad.
      3. Di menu Active metrics, pilih LDAPS Certificate TTL.
      4. Klik Apply.

    3. Untuk menghapus deret waktu dari tampilan, gunakan elemen Filter.

    4. Untuk menggabungkan deret waktu, gunakan menu pada elemen Agregasi. Misalnya, untuk menampilkan pemakaian CPU bagi VM Anda, berdasarkan zonanya, tetapkan menu pertama ke Rataan dan menu kedua ke zona.

      Semua deret waktu ditampilkan saat menu pertama elemen Agregasi ditetapkan ke Unaggregated. Setelan default untuk elemen Agregasi ditentukan oleh jenis metrik yang Anda pilih.

    5. Untuk kuota dan metrik lain yang melaporkan satu sampel per hari, lakukan tindakan berikut:
      1. Di panel Display, tetapkan Jenis widget ke Diagram batang bertumpuk.
      2. Tetapkan jangka waktu setidaknya satu minggu.

    Anda juga dapat mengklik Monitoring di bagian LDAPS di halaman Domain details untuk membuka Metrics Explorer.

    Anda juga dapat menggunakan Query Editor untuk menemukan metrik ini.

    1. Di tab Metric, pilih Query Editor.

    2. Di kolom teks Query Editor, masukkan kueri MQL berikut, lalu pilih Run Query.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    Nonaktifkan LDAPS

    Untuk menonaktifkan LDAPS, selesaikan langkah-langkah berikut:

    Konsol

    1. Di konsol Google Cloud, buka halaman Microsoft AD Terkelola.
      Buka Microsoft AD Terkelola
    2. Di halaman Domains, pilih domain dari daftar instance yang sertifikatnya ingin Anda nonaktifkan.
    3. Di bagian LDAPS pada halaman Domain details, klik Disable.

    gcloud

    Jalankan perintah gcloud CLI berikut:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    Ganti DOMAIN_NAME dengan nama resource lengkap domain Microsoft AD Terkelola. Format nama resource lengkap: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

    Operasi ini bisa memakan waktu hingga 20 menit. Untuk mengaktifkan kembali LDAPS, Anda harus mengunggah kembali sertifikatnya.

    Langkah selanjutnya