Abilita LDAPS

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In questa pagina viene spiegato come attivare LDAP su SSL/TLS (LDAP) per Managed Service for Microsoft Active Directory (Managed Microsoft AD) per rendere sicuro e sicuro il traffico LDAP. Per impostazione predefinita, la comunicazione tra applicazioni Microsoft Active Directory gestite e client non è criptata per semplici associazioni LDAP.

Per abilitare LDAPS, devi disporre di un certificato. In questa pagina vengono descritte anche le specifiche del certificato richiesto e le modalità di verifica e monitoraggio.

Richiedi un certificato

Puoi richiedere un certificato a un'Public Certificate Authority (CA), a un'autorità di certificazione aziendale, a un servizio Google Cloud Certificate Authority Service o a utilizzare un certificato autofirmato. Puoi creare un certificato autofirmato con il comando New-SelfSignedCertificate su Windows, OpenSSL o MakeCert.

Requisiti dei certificati

Il tuo certificato deve soddisfare i seguenti requisiti:

  • Nome soggetto: deve essere il nome con prefisso jolly del dominio Microsoft Active Directory gestito per garantire che il servizio rimanga disponibile durante un upgrade/ripristino. Questo perché i controller di dominio utilizzano nomi casuali che cambiano durante un upgrade o un ripristino. Ad esempio, se il nome di dominio è ad.mycompany.com, il nome dell'oggetto deve essere CN=*.ad.mycompany.com

  • Nome alternativo del soggetto (nome DNS o SAN): deve includere solo quanto segue:

    • Nome con caratteri jolly del dominio Microsoft Active Directory gestito
    • Nome di dominio Microsoft AD gestito.

    Ad esempio, "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"

  • KeySpec: deve essere impostato su "1" per indicare che può essere utilizzato sia per la firma digitale che per lo scambio di chiavi.

  • KeyLength: la dimensione minima della chiave dipende dall'algoritmo crittografico.

    • Addetto alle vendite:almeno 2048 bit
    • ECDSA: almeno 256 bit
    • ED25519: 512 bit (lunghezza fissa)
  • KeyUsage: deve includere "firme digitali" e "cifra chiave".

  • EnhancedKeyUsageExtension: deve avere OID=1.3.6.1.5.5.7.3.1 per l'autenticazione del server.

  • NotPrima: l'ora di validità del certificato. Il certificato deve essere valido quando abiliti LDAPS.

  • NotAfter: l'ora dopo la quale il certificato non è valido. Il certificato deve essere valido quando abiliti LDAPS.

  • Catena emittente: l'intera catena di certificati deve essere caricata e deve essere valida. La catena deve essere lineare e non può avere più catene.

  • Algoritmo di firma: non sono supportati algoritmi di firma deboli come SHA-1, MD2, MD5.

  • Formato del certificato: il formato deve soddisfare gli standard di crittografia con chiave pubblica (PKCS) n. 12. Devi utilizzare un file PFX.

Richiesta da un'autorità di certificazione pubblica o aziendale

Per richiedere un certificato a una Public CA o a una CA aziendale, segui questi passaggi.

Accetta il certificato sulla stessa VM in cui viene generata la richiesta.

Esporta il certificato nel formato PKCS #12

Per esportare il certificato in formato PKCS #12 (come file PFX), procedi nel seguente modo:

  1. In Windows, vai ai tuoi certificati in Microsoft Management Console (MMC).

  2. Espandi Certificati per computer locali e vai a Certificati personali >.

  3. Fai clic con il pulsante destro del mouse sul certificato che hai creato per attivare LDAPS e seleziona Tutte le attività > Esporta.

  4. Nella finestra di dialogo Procedura guidata di esportazione dei certificati che viene visualizzata, fai clic su Avanti.

  5. Nella pagina Esporta chiave privata, seleziona per esportare la chiave privata.

  6. Nella pagina Esporta formato file, seleziona Scambio di informazioni personali - PKCS #12 (.PFX) e Includi tutti i certificati nel percorso di certificazione se possibile. Fai clic su Avanti.

  7. Nella pagina Sicurezza, seleziona la casella di controllo Password e inserisci una password efficace per proteggere il certificato. Fai clic su Next (Avanti). Questa password è obbligatoria quando configuri LDAPS nel tuo dominio Microsoft Active Directory gestito.

  8. Nella pagina File da esportare, inserisci il nome e il percorso del file PFX da esportare. Fai clic su Next (Avanti).

  9. Fai clic su Fine.

Esportare la catena di emittenti nei computer client

Affinché LDAPS funzioni, tutti i computer client devono considerare attendibile l'emittente del certificato LDAPS. Per una nota Public CA, i computer client potrebbero già considerare attendibili la catena di emittenti. Se la catena non è considerata attendibile, completa i seguenti passaggi per esportare la catena di emittenti:

  1. In Windows, vai ai tuoi certificati in Microsoft Management Console (MMC).

  2. Espandi Certificati per computer locali e vai a Certificati personali >. Fai doppio clic sul certificato LDAPS.

  3. Nella finestra Certificato, fai clic sulla scheda Percorso di certificazione.

  4. Nella scheda Percorso di certificazione, seleziona il certificato radice nel percorso.

  5. Fai clic su Visualizza certificato.

  6. Fai clic sulla scheda Dettagli, quindi su Copia su File...

  7. Nella finestra di dialogo Procedura guidata di esportazione dei certificati, seleziona X.509 con codifica Base-64 e fai clic su Avanti.

  8. Seleziona il nome e la posizione del file per la catena di certificati e fai clic su Fine.

  9. Per copiare il certificato nel computer client che stabilisce la connessione LDAPS, utilizza la finestra di dialogo Procedura guidata di importazione dei certificati per importare il certificato nell'archivio "Local Machine". In alternativa, puoi distribuire la catena di certificati delle autorità di emissione ai computer client utilizzando Criteri di gruppo in Windows.

Abilita LDAPS su un dominio Microsoft AD gestito

Prima di attivare LDAPS nel tuo dominio Microsoft Active Directory gestito:

  1. Assicurati di avere uno dei seguenti ruoli IAM:

    • Amministratore identità gestite da Google Cloud (roles/managedidentities.admin)
    • Amministratore domini delle identità gestite da Google Cloud (roles/managedidentities.domainAdmin)

    Per saperne di più sui ruoli IAM gestiti in Microsoft AD, vedi Controllo dell'accesso.

Per abilitare LDAPS nel tuo dominio Microsoft Active Directory gestito, procedi nel seguente modo:

Console

  1. Nella console Google Cloud, vai alla pagina Managed Microsoft AD.
    Vai a Microsoft Active Directory gestito
  2. Nella pagina Domini, seleziona un dominio dall'elenco delle istanze per abilitare LDAPS.
  3. Nella sezione LDAPS (Dati LDAPS) della pagina Dettagli dominio, fai clic su Configure LDAPS (Configura LDAPS).
  4. Nel riquadro Configura LDAPS, inserisci la posizione del file PFX e la password che hai utilizzato per esportare il certificato in formato PKCS #12, quindi fai clic su Configura LDAPS.

gcloud

Esegui questo comando dell'interfaccia a riga di comando gcloud:

 gcloud active-directory domains update-ldaps-settings DOMAIN_NAME 
--certificate-pfx-file=PFX_FILENAME
--certificate-password=PASSWORD

Sostituisci quanto segue:

  • DOMAIN_NAME: il nome completo della risorsa del dominio Microsoft Active Directory gestito. Formato completo del nome della risorsa: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
  • PFX_FILENAME: il file PFX in formato PKCS #12 che specifica la catena di certificati utilizzata per configurare LDAPS.
  • PASSWORD: la password utilizzata per criptare il certificato PKCS #12. Se non la specifichi, viene richiesta durante l'esecuzione del comando.

Questa operazione può richiedere fino a 20 minuti. Per aggiornare il certificato, ripeti questi passaggi con il file PFX aggiornato.

Verifica LDAPS

Puoi verificare che LDAPS sia abilitato eseguendo un associazione LDAPS. Questo processo utilizza LDP.exe, che è uno degli strumenti RSAT che installi quando aggiungi una VM al dominio.

Su una VM Google Cloud Windows aggiunta al dominio, completa i seguenti passaggi in PowerShell:

  1. In PowerShell, avvia LDP.exe e vai a Connessione > Connect.

  2. Nella finestra di dialogo Connetti, completa i seguenti passaggi:

    1. Nel campo Server (Server), inserisci il nome del tuo dominio.
    2. Nel campo Porta, inserisci 636.
    3. Seleziona la casella di controllo SSL.
    4. Fai clic su OK.

    Se LDAPS è abilitato correttamente, la connessione ha esito positivo.

Monitora un certificato

Puoi visualizzare la durata (TTL) di una catena di certificati in Cloud Monitoring. La metrica cert_ttl mostra il numero di giorni validi rimanenti per il certificato nella catena con la scadenza anticipata.

Console

Per utilizzare Metrics Explorer per visualizzare le metriche di una risorsa monitorata, procedi nel seguente modo:

  1. Nella console Google Cloud, vai alla pagina Metrics Explorer in Monitoring.
  2. Vai a Metrics Explorer

  3. Seleziona la scheda Configurazione.
  4. Espandi il menu Seleziona una metrica, inserisci LDAPS Certificate TTL nella barra dei filtri e utilizza i sottomenu per selezionare una metrica e un tipo di risorsa specifici:
    1. Nel menu Risorse attive, seleziona Dominio Microsoft Active Directory.
    2. Nel menu Categorie di metriche attive, seleziona Microsoft_ad.
    3. Nel menu Active Metrics (Metriche attive), seleziona LDAPS Certificate TTL (Certificato LDAPS TTL).
    4. Fai clic su Applica.
  5. Facoltativo: per configurare la modalità di visualizzazione dei dati, aggiungi filtri e utilizza i menu Raggruppa per, Aggregatore e di tipo grafico. Ad esempio, puoi raggruppare in base a etichette di risorsa o metrica. Per ulteriori informazioni, consulta la pagina Selezionare le metriche quando si utilizza Metrics Explorer.
  6. Facoltativo: modifica le impostazioni del grafico:
    • Per le quote e altre metriche che segnalano un campione al giorno, imposta il periodo di tempo su almeno una settimana e il tipo di grafico su Grafico a barre in pila.
    • Per le metriche con valore di distribuzione, imposta il tipo di grafico su Grafico termico.

Puoi anche fare clic su Monitoring nella sezione LDAPS della pagina Dettagli dominio per passare a Metrics Explorer.

Per trovare queste metriche, puoi anche utilizzare l'Editor query.

  1. Nella scheda Metrica, seleziona Query Editor.

  2. Nel campo di testo di Query Editor, inserisci la seguente query MQL e seleziona Esegui query.

    fetch microsoft_ad_domain
    | metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
    | group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
    | every 1m
    | group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]
    

Disabilita LDAPS

Per disattivare LDAPS:

Console

  1. Nella console Google Cloud, vai alla pagina Managed Microsoft AD.
    Vai a Microsoft Active Directory gestito
  2. Nella pagina Domini, seleziona il dominio dall'elenco delle istanze per cui vuoi disabilitare il certificato.
  3. Nella sezione LDAPS (Dati LDAPS) della pagina Domain details (Dettagli dominio), fai clic su Disabilita.

gcloud

Esegui questo comando dell'interfaccia a riga di comando gcloud:

gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
   --clear-ldaps-certificate

Sostituisci DOMAIN_NAME con il nome risorsa completo del dominio Microsoft Active Directory gestito. Formato completo del nome della risorsa: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

Questa operazione può richiedere fino a 20 minuti. Per riabilitare LDAPS, devi ricaricare i certificati.