Ative o LDAPS

Esta página mostra-lhe como ativar o LDAP através de SSL/TLS (LDAPS) para o Managed Service for Microsoft Active Directory (Managed Microsoft AD) para tornar o seu tráfego LDAP confidencial e seguro. Por predefinição, a comunicação entre o Managed Microsoft AD e as aplicações cliente não é encriptada para associações LDAP simples.

Para ativar o LDAPS, tem de ter um certificado. Esta página também descreve as especificações do certificado necessário e como o validar e monitorizar.

Peça um certificado

Pode pedir um certificado a uma autoridade de certificação (AC) pública, a uma AC empresarial, aoGoogle Cloud serviço de autoridade de certificação ou usar um certificado autoassinado. Se usar um certificado autoassinado, siga a documentação da Microsoft associada aos comandos do PowerShell nas secções seguintes.

Pode criar um certificado autoassinado com o comando New-SelfSignedCertificate no Windows, OpenSSL ou MakeCert.

Requisitos de certificado

O seu certificado tem de cumprir os seguintes requisitos:

  • A tabela seguinte descreve os requisitos para criar um certificado autossinado e lista os parâmetros associados usados no comando New-SelfSignedCertificate. Tenha em atenção que os nomes dos parâmetros ou dos campos podem variar consoante a forma como cria o certificado.
Parâmetro Descrição
Subject (nome do assunto) Tem de ser o nome com o prefixo wildcard do seu domínio do Microsoft AD gerido para garantir que o serviço permanece disponível durante um processo de atualização ou restauro. Isto deve-se ao facto de os controladores de domínio usarem nomes aleatórios que mudam durante um processo de atualização ou restauro. Por exemplo, se o nome de domínio for ad.mycompany.com, o nome do assunto tem de ser CN=*.ad.mycompany.com
DnsName (nome DNS ou nome alternativo do assunto) Tem de incluir apenas o seguinte:
  • Nome com carateres universais do seu domínio do Microsoft AD gerido
  • Nome do domínio do Microsoft AD gerido
    • Por exemplo, "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
    KeySpec Tem de estar definido como 1, o que indica que pode ser usado para assinatura digital e troca de chaves.
    KeyLength O tamanho mínimo da chave depende do algoritmo criptográfico.
  • RSA:, pelo menos, 2048 bits
  • ECDSA:, pelo menos, 256 bits
  • ED25519: 512 bits (comprimento fixo)
    		•
    KeyUsage Tem de incluir "assinaturas digitais" e "cifrar chaves".
    TextExtension ou EnhancedKeyUsageExtension Tem de ter OID=1.3.6.1.5.5.7.3.1 para a autenticação do servidor.
    NotBefore A hora a partir da qual o certificado é válido. O certificado tem de ser válido quando ativa o LDAPS.
    NotAfter A hora após a qual o certificado não é válido. O certificado tem de ser válido quando ativa o LDAPS.
    KeyAlgorithm (algoritmo de assinatura) Os algoritmos de assinatura fracos, como SHA-1, MD2 e MD5, não são suportados.

    • Cadeia de emissão: tem de carregar toda a cadeia de certificados e esta tem de ser válida. A cadeia tem de ser linear e não pode ter várias cadeias.

    • Formato do certificado: o formato tem de cumprir as normas de criptografia de chaves públicas (PKCS) n.º 12. Tem de usar um ficheiro PFX.

    Pedido de uma CA pública ou de uma CA empresarial

    Para pedir um certificado a uma AC pública ou a uma AC empresarial, siga estes passos.

    Aceite o certificado na mesma VM onde o pedido é gerado.

    Exporte o certificado no formato PKCS #12

    Para exportar o certificado no formato PKCS #12 (como um ficheiro PFX), conclua os seguintes passos:

    1. No Windows, navegue até aos seus certificados na Microsoft Management Console (MMC).

    2. Expanda Certificados do computador local e navegue para Pessoal > Certificados.

    3. Clique com o botão direito do rato no certificado que criou para ativar o LDAPS e selecione Todas as tarefas > Exportar.

    4. Na caixa de diálogo Assistente de exportação de certificados apresentada, clique em Seguinte.

    5. Na página Exportar chave privada, selecione Sim para exportar a chave privada.

    6. Na página Formato do ficheiro de exportação, selecione Troca de informações pessoais – PKCS #12 (.PFX) e a caixa de verificação Incluir todos os certificados no caminho de certificação se possível. Clique em Seguinte.

    7. Na página Segurança, selecione a caixa de verificação Palavra-passe e introduza uma palavra-passe forte para proteger o certificado. Clique em Seguinte. Esta palavra-passe é necessária quando configura o LDAPS no seu domínio do Microsoft AD gerido.

    8. Na página Ficheiro a exportar, introduza o nome e o caminho de destino do ficheiro PFX a exportar. Clique em Seguinte.

    9. Clique em Concluir.

    Para exportar um certificado autoassinado com a chave privada no formato PKCS #12 como um ficheiro PFX, use o comando Export-PfxCertificate e, para exportar o certificado autoassinado como um ficheiro PEM, use o comando Export-Certificate.

    Distribua a cadeia de emissão aos computadores cliente

    Para que o LDAPS funcione, todos os computadores cliente têm de confiar no emissor do certificado LDAPS. Para uma AC pública conhecida, os computadores cliente podem já confiar na cadeia do emissor. Se a cadeia não for fidedigna, conclua os seguintes passos para exportar a cadeia do emissor:

    1. No Windows, navegue até aos seus certificados na Microsoft Management Console (MMC).

    2. Expanda Certificados do computador local e navegue para Pessoal > Certificados. Clique duas vezes no certificado LDAPS.

    3. Na janela Certificado, clique no separador Caminho de certificação.

    4. No separador Caminho de certificação, selecione o certificado de raiz no caminho.

    5. Clique em Ver certificado.

    6. Clique no separador Detalhes e, de seguida, em Copiar para ficheiro...

    7. Na caixa de diálogo Assistente de exportação de certificados apresentada, selecione X.509 codificado em Base-64 e clique em Seguinte.

    8. Selecione o nome do ficheiro e a localização da cadeia de certificados e clique em Concluir.

    9. Para copiar o certificado para o computador cliente que estabelece a ligação LDAPS, use a caixa de diálogo Assistente de importação de certificados para importar o certificado na loja "Computador local". Em alternativa, pode distribuir a cadeia de certificados das autoridades de emissão para os computadores cliente através da Política de Grupo no Windows.

    Para importar um certificado autoassinado para a lista de certificados fidedigna da máquina local, use o comando Import-Certificate.

    Ative o LDAPS num domínio do Microsoft AD gerido

    Antes de ativar o LDAPS no seu domínio do Microsoft AD gerido, faça o seguinte:

    1. Certifique-se de que tem uma das seguintes funções do IAM:

      • Google Cloud Administrador de identidades geridas (roles/managedidentities.admin)
      • Google Cloud Administrador do domínio de identidades geridas (roles/managedidentities.domainAdmin)

      Para mais informações sobre as funções de IAM do Managed Microsoft AD, consulte o artigo Controlo de acesso.

    Para ativar o LDAPS no seu domínio do Microsoft AD gerido, conclua os seguintes passos:

    Consola

    1. Na Google Cloud consola, aceda à página Managed Microsoft AD.
      Aceda ao Microsoft AD gerido
    2. Na página Domínios, selecione um domínio na lista de instâncias para ativar o LDAPS.
    3. Na secção LDAPS da página Detalhes do domínio, clique em Configurar LDAPS.
    4. No painel Configurar LDAPS, introduza a localização do ficheiro PFX e a palavra-passe que usou para exportar o certificado no formato PKCS #12 e, em seguida, clique em Configurar LDAPS.

    gcloud

    Execute o seguinte comando da CLI gcloud:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    Substitua o seguinte:

    • DOMAIN_NAME: O nome do recurso completo do seu domínio do Microsoft AD gerido. Formato do nome completo do recurso: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
    • PFX_FILENAME: O ficheiro PFX formatado em PKCS #12 que especifica a cadeia de certificados usada para configurar o LDAPS.
    • PASSWORD: A palavra-passe usada para encriptar o certificado PKCS #12. Se não especificar a palavra-passe, é pedido que a introduza quando executar o comando.

    Esta operação pode demorar até 20 minutos a ser concluída. Para atualizar o certificado, repita estes passos com o ficheiro PFX atualizado.

    Valide o LDAPS

    Pode verificar se o LDAPS está ativado executando uma associação LDAPS. Este processo usa o LDP.exe, que é uma das ferramentas RSAT que instala quando associa uma VM a um domínio.

    Numa VM do Windows associada a um domínio, conclua os seguintes passos no PowerShell: Google Cloud

    1. No PowerShell, inicie o LDP.exe e navegue para Ligação > Ligar.

    2. Na caixa de diálogo Associar, conclua os seguintes passos:

      1. No campo Servidor, introduza o nome do seu domínio.
      2. No campo Porta, introduza 636.
      3. Selecione a caixa de verificação SSL.
      4. Clique em OK.

      Se o LDAPS estiver ativado corretamente, a ligação é bem-sucedida.

    Monitorize um certificado

    Pode ver o tempo de vida (TTL) de uma cadeia de certificados no Cloud Monitoring. A métrica cert_ttl mostra o número de dias válidos restantes para o certificado na cadeia com a expiração mais antiga.

    Consola

    Para ver as métricas de um recurso monitorizado através do Metrics Explorer, faça o seguinte:

    1. Na Google Cloud consola, aceda à página  Explorador de métricas:

      Aceda ao Metrics Explorer

      Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é Monitorização.

    2. Na barra de ferramentas da Google Cloud consola, selecione o seu Google Cloud projeto. Para configurações do App Hub, selecione o projeto anfitrião do App Hub ou o projeto de gestão da pasta com apps ativadas.
    3. No elemento Métrica, expanda o menu Selecionar uma métrica, introduza LDAPS Certificate TTL na barra de filtros e, de seguida, use os submenus para selecionar um tipo de recurso e uma métrica específicos:
      1. No menu Recursos ativos, selecione Domínio do Microsoft Active Directory.
      2. No menu Categorias de métricas ativas, selecione Microsoft_ad.
      3. No menu Métricas ativas, selecione LDAPS Certificate TTL.
      4. Clique em Aplicar.

    4. Para adicionar filtros que removem séries cronológicas dos resultados da consulta, use o elemento Filter.

    5. Para combinar séries cronológicas, use os menus no elemento Agregação. Por exemplo, para apresentar a utilização da CPU das suas VMs, com base na respetiva zona, defina o primeiro menu como Média e o segundo menu como zona.

      Todas as séries cronológicas são apresentadas quando o primeiro menu do elemento Agregação está definido como Não agregado. As predefinições do elemento Agregação são determinadas pelo tipo de métrica que selecionou.

    6. Para a quota e outras métricas que comunicam uma amostra por dia, faça o seguinte:
      1. No painel Apresentação, defina o Tipo de widget como Gráfico de barras empilhadas.
      2. Defina o período como, pelo menos, uma semana.

    Também pode clicar em Monitorização na secção LDAPS da página Detalhes do domínio para navegar para o Explorador de métricas.

    Também pode usar o Editor de consultas para encontrar estas métricas.

    1. No separador Métrica, selecione Editor de consultas.

    2. No campo de texto do editor de consultas, introduza a seguinte consulta MQL e selecione Executar consulta.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    Desative o LDAPS

    Para desativar o LDAPS, conclua os seguintes passos:

    Consola

    1. Na Google Cloud consola, aceda à página Managed Microsoft AD.
      Aceda ao Microsoft AD gerido
    2. Na página Domínios, selecione o domínio na lista de instâncias para o qual quer desativar o certificado.
    3. Na secção LDAPS da página Detalhes do domínio, clique em Desativar.

    gcloud

    Execute o seguinte comando da CLI gcloud:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    Substitua DOMAIN_NAME pelo nome completo do recurso do seu domínio do Microsoft AD gerido. Formato do nome completo do recurso: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

    Esta operação pode demorar até 20 minutos a ser concluída. Para reativar o LDAPS, tem de carregar novamente os certificados.

    O que se segue?