Abilita LDAPS

Questa pagina mostra come attivare LDAP su SSL/TLS (LDAPS) per Managed Service for Microsoft Active Directory (Managed Microsoft AD) per rendere il traffico LDAP riservato e sicuro. Per impostazione predefinita, la comunicazione tra Managed Microsoft AD e le applicazioni client non è criptata per le associazioni LDAP semplici.

Per abilitare LDAPS, devi avere un certificato. In questa pagina vengono inoltre descritti specifiche per il certificato richiesto e le modalità di verifica e monitoraggio.

Richiedi un certificato

Puoi richiedere un certificato a Public Certificate Authority (CA), a un'autorità di certificazione aziendale Google Cloud Certificate Authority Service o certificato autofirmato. Se utilizzi un certificato autofirmato, segui la documentazione di Microsoft collegata ai comandi di PowerShell nelle sezioni seguenti.

Puoi creare un certificato autofirmato con il comando New-SelfSignedCertificate su Windows, OpenSSL o MakeCert.

Requisiti del certificato

Il certificato deve soddisfare i seguenti requisiti:

  • La tabella seguente illustra i requisiti per la creazione di un certificato autofirmato ed elenca i parametri associati utilizzati nel comando New-SelfSignedCertificate. Tieni presente che i nomi dei parametri o dei campi possono variare in base a come crei certificato.
Parametro Descrizione
Subject (nome soggetto) Deve essere il nome con prefisso del carattere jolly Dominio Microsoft AD gestito per garantire che il servizio rimanga disponibile durante un processo di upgrade o ripristino. Il motivo è che i controller di dominio utilizzano che cambiano durante un processo di upgrade o ripristino. Ad esempio, se il nome di dominio è ad.mycompany.com, il nome dell'oggetto deve essere CN=*.ad.mycompany.com
DnsName (nome DNS o nome alternativo dell'oggetto) Deve includere solo quanto segue:
  • Nome con caratteri jolly del dominio Microsoft Active Directory gestito
  • Nome di dominio Microsoft AD gestito
    • Ad esempio, "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
    KeySpec Deve essere impostato su 1, il che indica che può essere utilizzato sia per la firma digitale sia per lo scambio di chiavi.
    KeyLength La dimensione minima della chiave dipende dall'algoritmo crittografico.
  • RSA: almeno 2048 bit
  • ECDSA: almeno 256 bit
  • ED25519: 512 bit (lunghezza fissa)
    		•
    KeyUsage Deve includere "firme digitali" e "crittografia delle chiavi".
    TextExtension o EnhancedKeyUsageExtension Deve avere OID=1.3.6.1.5.5.7.3.1 per autenticazione del server.
    NotBefore L'ora a partire dalla quale il certificato è valido. Il certificato devono essere validi quando si abilita LDAPS.
    NotAfter L'ora dopo la quale il certificato non è valido. La il certificato deve essere valido quando si abilita LDAPS.
    KeyAlgorithm (algoritmo di firma) Gli algoritmi di firma deboli come SHA-1, MD2 e MD5 non sono supportati.

    • Catena di emissione: l'intera catena di certificati deve essere caricata e deve essere valida. La catena deve essere lineare e non può avere più catene.

    • Formato del certificato: il formato deve rispettare la crittografia a chiave pubblica Standard (PKCS) n. 12. Devi usare un file PFX.

    Richiesta da un'autorità di certificazione pubblica o aziendale

    Per richiedere un certificato a un'autorità di certificazione pubblica o a un'autorità di certificazione aziendale, segui questi passaggi.

    Accetta il certificato sulla stessa VM in cui viene generata la richiesta.

    Esporta il certificato in formato PKCS #12

    Per esportare il certificato in formato PKCS #12 (come file PFX), svolgi i seguenti passaggi:

    1. In Windows, vai ai tuoi certificati in Microsoft Management Console (MMC).

    2. Espandi Local Computer Certificates (Certificati per computer locali) e vai a Certificati > personali.

    3. Fai clic con il tasto destro del mouse sul certificato creato per attivare LDAPS e seleziona Tutte le attività > Esporta.

    4. Nella finestra di dialogo Esportazione guidata certificati visualizzata, fai clic su Avanti.

    5. Nella pagina Esporta chiave privata, seleziona per esportare la chiave privata chiave.

    6. Nella pagina Formato file di esportazione, seleziona Personal Information Exchange - PKCS #12 (.PFX) e la casella di controllo Includi tutti i certificati nel percorso di certificazione se possibile. Fai clic su Avanti.

    7. Nella pagina Sicurezza, seleziona la casella di controllo Password e inserisci una password complessa per proteggere il certificato. Fai clic su Next (Avanti). Questa password è richiesta quando si configura LDAPS sul dominio Microsoft Active Directory gestito.

    8. Nella pagina File da esportare, inserisci il nome e il percorso della destinazione per il file PFX da esportare. Fai clic su Avanti.

    9. Fai clic su Fine.

    Per esportare un certificato autofirmato con la chiave privata in formato PKCS #12 come il file PFX, utilizza il Export-PfxCertificate comando e per esportare il certificato autofirmato come file PEM, utilizza la classe Export-Certificate kubectl.

    Distribuire la catena di emittenti ai computer client

    Affinché LDAPS funzioni, tutti i computer client devono considerare attendibile l'emittente del protocollo LDAPS. certificato. Per una Public CA nota, i computer client potrebbero già fidarsi della catena di emittenti. Se la catena non è attendibile, completa la seguenti passaggi per esportare la catena di emittenti:

    1. In Windows, vai ai certificati nella console di gestione Microsoft (MMC).

    2. Espandi Certificati del computer locale e vai a Personali > Certificati. Fai doppio clic sul certificato LDAPS.

    3. Nella finestra Certificato, fai clic sulla scheda Percorso di certificazione.

    4. Nella scheda Percorso di certificazione, seleziona il certificato radice nel percorso.

    5. Fai clic su Visualizza certificato.

    6. Fai clic sulla scheda Dettagli e poi su Copia in file….

    7. Nella finestra di dialogo Procedura guidata per l'esportazione dei certificati visualizzata, seleziona X.509 con codifica Base64 e fai clic su Avanti.

    8. Seleziona il nome e la posizione del file per la catena di certificati e fai clic su Fine.

    9. Per copiare il certificato sul computer client che stabilisce LDAPS utilizza la finestra di dialogo Importazione guidata certificati per importare nella sezione "Computer locale" . In alternativa, puoi distribuire la catena di certificati delle autorità di certificazione ai computer client utilizzando i criteri di gruppo in Windows.

    Per importare un certificato autofirmato nell'archivio radice attendibile del servizio utilizza la classe Import-Certificate un comando kubectl.

    Attivare LDAPS in un dominio Microsoft AD gestito

    Prima di attivare LDAPS sul tuo dominio Microsoft Active Directory gestito, segui questi passaggi:

    1. Assicurati di avere uno dei seguenti ruoli IAM:

      • Amministratore identità gestite da Google Cloud (roles/managedidentities.admin)
      • Amministratore domini identità gestite da Google Cloud (roles/managedidentities.domainAdmin)

      Per saperne di più sui ruoli IAM Microsoft Active Directory gestiti, consulta Controllo dell'accesso.

    Per attivare LDAPS nel tuo dominio Microsoft AD gestito, completa i seguenti passaggi:

    Console

    1. Nella console Google Cloud, vai a Managed Microsoft AD .
      Vai a Microsoft Active Directory gestito
    2. Nella pagina Domains (Domini), seleziona un dominio dall'elenco di istanze per attivare LDAPS.
    3. Nella sezione LDAPS della pagina Dettagli dominio, fai clic su Configura LDAPS.
    4. Nel riquadro Configura LDAPS, inserisci la posizione del file PFX e la password utilizzata per esportare il certificato in PKCS #12 formato predefinito e quindi fai clic su Configura LDAPS.

    gcloud

    Esegui il seguente comando gcloud CLI:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    Sostituisci quanto segue:

    • DOMAIN_NAME: la risorsa completa nome del tuo servizio Microsoft Active Directory gestito dominio. Formato del nome completo della risorsa: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
    • PFX_FILENAME: il file PFX in formato PKCS #12 che specifica la catena di certificati utilizzata per configurare LDAPS.
    • PASSWORD: la password utilizzata per criptare la PKCS #12 certificato. Se non specifichi la password, ti verrà chiesta durante l'esecuzione del comando.

    Questa operazione può richiedere fino a 20 minuti. Per aggiornare il certificato: ripeti questi passaggi con il file PFX aggiornato.

    Verifica LDAPS

    Puoi verificare che LDAPS sia abilitato eseguendo un'associazione LDAPS. Questa procedura utilizza LDP.exe, uno degli strumenti RSAT che installi quando colleghi una VM al dominio.

    Su una VM Windows di Google Cloud aggiunta a un dominio, completa i seguenti passaggi in PowerShell:

    1. In PowerShell, avvia LDP.exe e vai a Connessione > Connetti.

    2. Nella finestra di dialogo Connetti, completa i seguenti passaggi:

      1. Nel campo Server, inserisci il nome del tuo dominio.
      2. Nel campo Porta, inserisci 636.
      3. Seleziona la casella di controllo SSL.
      4. Fai clic su OK.

      Se LDAPS è abilitato correttamente, la connessione va a buon fine.

    Monitorare un certificato

    Puoi visualizzare la durata (TTL) di una catena di certificati in e configurazione in Cloud Monitoring. La metrica cert_ttl mostra il numero di giorni validi rimanenti per il certificato nella catena con la prima scadenza.

    Console

    Per visualizzare le metriche per una risorsa monitorata con Esplora metriche, segui questi passaggi:

    1. Nella console Google Cloud, vai alla pagina  Esplora metriche:

      Vai a Esplora metriche

      Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

    2. Nell'elemento Metrica, espandi il menu Seleziona una metrica, digita LDAPS Certificate TTL nella barra dei filtri e poi utilizza i sottomenu per selezionare un tipo di risorsa e una metrica specifici:
      1. Nel menu Risorse attive, seleziona Dominio Microsoft Active Directory.
      2. Nel menu Categorie di metriche attive, seleziona Microsoft_ad.
      3. Nel menu Metriche attive, seleziona TTL certificato LDAPS.
      4. Fai clic su Applica.

    3. Per rimuovere le serie temporali dalla visualizzazione, utilizza l'elemento Filtro.

    4. Per combinare le serie temporali, utilizza i menu nella Elemento di aggregazione: Ad esempio, per visualizzare l'utilizzo della CPU per le VM, in base alla zona, imposta il primo menu su Media e il secondo menu su zona.

      Tutte le serie temporali vengono visualizzate quando il primo menu dell'elemento Aggregazione è impostato su Nessuna aggregazione. Le impostazioni predefinite per l'elemento Aggregazione sono determinate dal tipo di metrica che hai selezionato.

    5. Per la quota e altre metriche che generano un campione al giorno:
      1. Nel riquadro Visualizza, imposta Tipo di widget su Grafico a barre in pila.
      2. Imposta il periodo di tempo su almeno una settimana.

    Puoi anche fare clic su Monitoraggio nella sezione LDAPS della pagina Dettagli del dominio per accedere a Metrics Explorer.

    Puoi anche utilizzare l'Editor di query per trovare queste metriche.

    1. Nella scheda Metrica, seleziona Editor di query.

    2. Nel campo di testo dell'Editor di query, inserisci la seguente query MQL e seleziona Esegui query.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    Disabilita LDAPS

    Per disattivare LDAPS, completa i seguenti passaggi:

    Console

    1. Nella console Google Cloud, vai alla pagina Microsoft AD gestito.
      Vai a Microsoft Active Directory gestito
    2. Nella pagina Domains (Domini), seleziona il dominio dall'elenco delle istanze per le quali vuoi disattivare il certificato.
    3. Nella sezione LDAPS della pagina Domain details (Dettagli dominio), fai clic su Disattiva.

    gcloud

    Esegui questo comando della gcloud CLI:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    Sostituisci DOMAIN_NAME con il nome completo della risorsa del tuo dominio AD di Microsoft gestito. Formato del nome completo della risorsa: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

    Il completamento dell'operazione può richiedere fino a 20 minuti. Per riattivare LDAPS, e devono ricaricare i certificati.

    Passaggi successivi