Abilita LDAPS

Questa pagina mostra come abilitare LDAP su SSL/TLS (LDAPS) per Managed Service for Microsoft Active Directory (Managed Microsoft AD) per rendere il traffico LDAP riservato e sicuro. Per impostazione predefinita, la comunicazione tra Managed Microsoft AD e le applicazioni client non è criptata per i semplici binding LDAP.

Per attivare LDAPS, devi avere un certificato. Questa pagina descrive anche le specifiche del certificato richiesto e come verificarlo e monitorarlo.

Richiedi un certificato

Puoi richiedere un certificato a un'autorità di certificazione (CA) pubblica, a una CA aziendale, a Google Cloud Certificate Authority Service o utilizzare un certificato autofirmato. Se utilizzi un certificato autofirmato, segui la documentazione Microsoft collegata ai comandi PowerShell nelle sezioni seguenti.

Puoi creare un certificato autofirmato con il comando New-SelfSignedCertificate su Windows, OpenSSL o MakeCert.

Requisiti di certificato

Il certificato deve soddisfare i seguenti requisiti:

  • La tabella seguente descrive i requisiti per la creazione di un certificato autofirmato ed elenca i parametri associati utilizzati nel comando New-SelfSignedCertificate. Tieni presente che i nomi dei parametri o dei campi possono variare in base alla modalità di creazione del certificato.
Parametro Descrizione
Subject (nome della materia) Deve essere il nome con prefisso jolly del tuo dominio Managed Microsoft AD per garantire che il servizio rimanga disponibile durante un processo di upgrade o ripristino. Questo perché i controller di dominio utilizzano nomi casuali che cambiano durante un processo di upgrade o ripristino. Ad esempio, se il nome di dominio è ad.mycompany.com, il nome del soggetto deve essere CN=*.ad.mycompany.com
DnsName (nome DNS o nome alternativo del soggetto) Deve includere solo quanto segue:
  • Nome con caratteri jolly del tuo dominio Managed Microsoft AD
  • Nome di dominio Managed Microsoft AD
    • Ad esempio, "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
    KeySpec Deve essere impostato su 1, il che indica che può essere utilizzato sia per la firma digitale sia per lo scambio di chiavi.
    KeyLength La dimensione minima della chiave dipende dall'algoritmo crittografico.
  • RSA: almeno 2048 bit
  • ECDSA:almeno 256 bit
  • ED25519: 512 bit (lunghezza fissa)
    		•
    KeyUsage Deve includere "firme digitali" e "crittografia della chiave".
    TextExtension o EnhancedKeyUsageExtension Deve avere OID=1.3.6.1.5.5.7.3.1 per l'autenticazione del server.
    NotBefore L'ora a partire dalla quale il certificato è valido. Il certificato deve essere valido quando viene attivato LDAPS.
    NotAfter Il periodo di tempo dopo il quale il certificato non è valido. Il certificato deve essere valido quando viene attivato LDAPS.
    KeyAlgorithm (algoritmo di firma) Gli algoritmi di firma deboli come SHA-1, MD2, MD5 non sono supportati.

    • Catena di emissione:l'intera catena di certificati deve essere caricata e deve essere valida. La catena deve essere lineare e non può avere più catene.

    • Formato del certificato:il formato deve soddisfare gli standard PKCS (Public-Key Cryptography Standards) #12. Devi utilizzare un file PFX.

    Richiesta da una Public CA o aziendale

    Per richiedere un certificato a una Public CA o aziendale, segui questi passaggi.

    Accetta il certificato sulla stessa VM in cui viene generata la richiesta.

    Esportare il certificato in formato PKCS #12

    Per esportare il certificato in formato PKCS #12 (come file PFX), completa i seguenti passaggi:

    1. In Windows, vai ai tuoi certificati nella console di gestione Microsoft (MMC).

    2. Espandi Certificati computer locale e vai a Personale > Certificati.

    3. Fai clic con il tasto destro del mouse sul certificato creato per attivare LDAPS e seleziona Tutte le attività > Esporta.

    4. Nella finestra di dialogo Procedura guidata di esportazione certificato visualizzata, fai clic su Avanti.

    5. Nella pagina Esporta chiave privata, seleziona per esportare la chiave privata.

    6. Nella pagina Formato file di esportazione, seleziona Scambio di informazioni personali - PKCS #12 (.PFX) e la casella di controllo Includi tutti i certificati nel percorso di certificazione se possibile. Fai clic su Avanti.

    7. Nella pagina Sicurezza, seleziona la casella di controllo Password e inserisci una password efficace per proteggere il certificato. Fai clic su Avanti. Questa password è obbligatoria durante la configurazione di LDAPS sul tuo dominio Managed Microsoft AD.

    8. Nella pagina File da esportare, inserisci il nome e il percorso della destinazione per il file PFX da esportare. Fai clic su Avanti.

    9. Fai clic su Fine.

    Per esportare un certificato autofirmato con la chiave privata in formato PKCS #12 come file PFX, utilizza il comando Export-PfxCertificate e per esportare il certificato autofirmato come file PEM, utilizza il comando Export-Certificate.

    Distribuire la catena di emittenti ai computer client

    Affinché LDAPS funzioni, tutti i computer client devono considerare attendibile l'emittente del certificato LDAPS. Per una Public CA nota, i computer client potrebbero già considerare attendibile la catena di emittenti. Se la catena non è attendibile, completa i seguenti passaggi per esportare la catena dell'emittente:

    1. In Windows, vai ai tuoi certificati nella console di gestione Microsoft (MMC).

    2. Espandi Certificati computer locale e vai a Personale > Certificati. Fai doppio clic sul certificato LDAPS.

    3. Nella finestra Certificato, fai clic sulla scheda Percorso di certificazione.

    4. Nella scheda Percorso di certificazione, seleziona il certificato radice nel percorso.

    5. Fai clic su Visualizza certificato.

    6. Fai clic sulla scheda Dettagli, quindi su Copia in file…

    7. Nella finestra di dialogo Procedura guidata Esportazione certificati visualizzata, seleziona X.509 con codifica Base64 e fai clic su Avanti.

    8. Seleziona il nome e la posizione della catena di certificati e fai clic su Fine.

    9. Per copiare il certificato nel computer client che stabilisce la connessione LDAPS, utilizza la finestra di dialogo Importazione guidata certificati per importare il certificato nell'archivio "Computer locale". In alternativa, puoi distribuire la catena di certificati delle autorità emittenti ai computer client utilizzando Criteri di gruppo in Windows.

    Per importare un certificato autofirmato nell'archivio radice attendibile della macchina locale, utilizza il comando Import-Certificate.

    Attivare LDAPS su un dominio Microsoft AD gestito

    Prima di abilitare LDAPS sul tuo dominio Managed Microsoft AD, procedi nel seguente modo:

    1. Assicurati di disporre di uno dei seguenti ruoli IAM:

      • Google Cloud Amministratore identità gestite (roles/managedidentities.admin)
      • Google Cloud Amministratore domini delle identità gestite (roles/managedidentities.domainAdmin)

      Per saperne di più sui ruoli IAM di Microsoft AD gestito, consulta Controllo dell'accesso.

    Per abilitare LDAPS sul tuo dominio Managed Microsoft AD, completa i seguenti passaggi:

    Console

    1. Nella console Google Cloud , vai alla pagina Managed Microsoft AD.
      Vai a Microsoft AD gestito
    2. Nella pagina Domini, seleziona un dominio dall'elenco delle istanze per attivare LDAPS.
    3. Nella sezione LDAPS della pagina Dettagli dominio, fai clic su Configura LDAPS.
    4. Nel riquadro Configura LDAPS, inserisci la posizione del file PFX e la password che hai utilizzato per esportare il certificato in formato PKCS #12, quindi fai clic su Configura LDAPS.

    gcloud

    Esegui questo comando gcloud CLI:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    Sostituisci quanto segue:

    • DOMAIN_NAME: il nome completo della risorsa del tuo dominio Managed Microsoft AD. Formato del nome completo della risorsa: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
    • PFX_FILENAME: il file PFX in formato PKCS #12 che specifica la catena di certificati utilizzata per configurare LDAPS.
    • PASSWORD: la password utilizzata per criptare il certificato PKCS #12. Se non specifichi la password, ti verrà chiesto di inserirla durante l'esecuzione del comando.

    Il completamento di questa operazione può richiedere fino a 20 minuti. Per aggiornare il certificato, ripeti questi passaggi con il file PFX aggiornato.

    Verifica LDAPS

    Puoi verificare che LDAPS sia abilitato eseguendo un'associazione LDAPS. Questo processo utilizza LDP.exe, che è uno degli strumenti RSAT che installi quando unisci una VM a un dominio.

    Su una VM Windows Google Cloud aggiunta a un dominio, completa i seguenti passaggi in PowerShell:

    1. In PowerShell, avvia LDP.exe e vai a Connection > Connect (Connessione > Connetti).

    2. Nella finestra di dialogo Connetti, completa i seguenti passaggi:

      1. Nel campo Server, inserisci il nome del tuo dominio.
      2. Nel campo Porta, inserisci 636.
      3. Seleziona la casella di controllo SSL.
      4. Fai clic su OK.

      Se LDAPS è abilitato correttamente, la connessione ha esito positivo.

    Monitorare un certificato

    Puoi visualizzare la durata (TTL) di una catena di certificati in Cloud Monitoring. La metrica cert_ttl mostra il numero di giorni validi rimanenti per il certificato nella catena con la scadenza più vicina.

    Console

    Per visualizzare le metriche per una risorsa monitorata con Esplora metriche, segui questi passaggi:

    1. Nella console Google Cloud , vai alla pagina  Esplora metriche:

      Vai a Esplora metriche

      Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

    2. Nella barra degli strumenti della console Google Cloud , seleziona il tuo progetto Google Cloud . Per le configurazioni di App Hub, seleziona il progetto host di App Hub o il progetto di gestione della cartella app.
    3. Nell'elemento Metrica, espandi il menu Seleziona una metrica, digita LDAPS Certificate TTL nella barra dei filtri e poi utilizza i sottomenu per selezionare un tipo di risorsa e una metrica specifici:
      1. Nel menu Risorse attive, seleziona Dominio Microsoft Active Directory.
      2. Nel menu Categorie di metriche attive, seleziona Microsoft_ad.
      3. Nel menu Metriche attive, seleziona TTL certificato LDAPS.
      4. Fai clic su Applica.

    4. Per aggiungere filtri, che rimuovono le serie temporali dai risultati della query, utilizza l'elemento Filtro.

    5. Per combinare le serie temporali, utilizza i menu dell'elemento Aggregazione. Ad esempio, per visualizzare l'utilizzo della CPU per le VM, in base alla zona, imposta il primo menu su Media e il secondo menu su zona.

      Tutte le serie temporali vengono visualizzate quando il primo menu dell'elemento Aggregazione è impostato su Nessuna aggregazione. Le impostazioni predefinite per l'elemento Aggregazione sono determinate dal tipo di metrica che hai selezionato.

    6. Per la quota e altre metriche che riportano un campione al giorno, segui questi passaggi:
      1. Nel riquadro Visualizzazione, imposta Tipo di widget su Grafico a barre in pila.
      2. Imposta il periodo di tempo su almeno una settimana.

    Puoi anche fare clic su Monitoring nella sezione LDAPS della pagina Dettagli dominio per passare a Metrics Explorer.

    Puoi anche utilizzare l'editor di query per trovare queste metriche.

    1. Nella scheda Metrica, seleziona Editor di query.

    2. Nel campo di testo dell'editor di query, inserisci la seguente query MQL e seleziona Esegui query.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    Disabilita LDAPS

    Per disattivare LDAPS, completa i seguenti passaggi:

    Console

    1. Nella console Google Cloud , vai alla pagina Managed Microsoft AD.
      Vai a Microsoft AD gestito
    2. Nella pagina Domini, seleziona il dominio dall'elenco delle istanze per cui vuoi disattivare il certificato.
    3. Nella sezione LDAPS della pagina Dettagli dominio, fai clic su Disattiva.

    gcloud

    Esegui questo comando gcloud CLI:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    Sostituisci DOMAIN_NAME con il nome completo della risorsa del tuo dominio Managed Microsoft AD. Formato del nome completo della risorsa: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

    Il completamento di questa operazione può richiedere fino a 20 minuti. Per riattivare LDAPS, devi ricaricare i certificati.

    Passaggi successivi