Ativar LDAPS

Nesta página, mostramos como ativar o LDAP sobre SSL/TLS (LDAPS) para o serviço gerenciado do Microsoft Active Directory (Microsoft AD gerenciado) para tornar o tráfego LDAP confidencial e seguro. Por padrão, a comunicação entre o Microsoft AD gerenciado e os aplicativos clientes não é criptografada para vínculos LDAP simples.

Para ativar o LDAPS, você precisa ter um certificado. Nesta página, também descrevemos as especificações do certificado necessário e como verificá-lo e monitorá-lo.

Solicitar um certificado

Você pode solicitar um certificado de uma autoridade de certificação (CA, na sigla em inglês) pública, de uma CA corporativa ou de um serviço de autoridade de certificação do Google Cloud. Outra opção é usar um certificado autoassinado. Se você usa um certificado autoassinado, siga a documentação da Microsoft vinculada aos comandos do PowerShell nas seções a seguir.

É possível criar um certificado autoassinado com o comando New-SelfSignedCertificate no Windows, OpenSSL ou MakeCert.

Requisitos de certificado

Seu certificado precisa atender aos seguintes requisitos:

  • A tabela a seguir descreve os requisitos para criar um certificado autoassinado e lista os parâmetros associados usados no comando New-SelfSignedCertificate. Os nomes do parâmetro ou dos campos podem variar de acordo com a forma como você cria o certificado.
Parâmetro Descrição
Subject (nome do assunto) Ele precisa ser o nome com prefixo de caractere curinga do domínio do Microsoft AD gerenciado para garantir que o serviço continue disponível durante um processo de upgrade ou restauração. Isso ocorre porque os controladores de domínio usam nomes aleatórios que mudam durante um processo de upgrade ou restauração. Por exemplo, se o nome de domínio for ad.mycompany.com, o nome do assunto precisará ser CN=*.ad.mycompany.com
DnsName (nome DNS ou nome alternativo do assunto) Ele precisa incluir apenas o seguinte:
  • Nome curinga do domínio do Microsoft AD gerenciado
  • Nome de domínio do Microsoft AD gerenciado
    • Por exemplo, "CN=*.ad.mycompany.com","CN=.ad.mycompany.com".
    KeySpec Ele precisa ser definido como 1, o que indica que pode ser usado para assinatura digital e troca de chaves.
    KeyLength O tamanho mínimo da chave depende do algoritmo criptográfico.
  • RSA:pelo menos 2.048 bits
  • ECDSA::pelo menos 256 bits
  • ED25519:512 bits (comprimento fixo)
    		•
    KeyUsage Precisa incluir "assinaturas digitais" e "criptografia de chave".
    TextExtension ou EnhancedKeyUsageExtension Ele precisa ter OID=1.3.6.1.5.5.7.3.1 para autenticação do servidor.
    NotBefore A hora a partir da qual o certificado é válido. O certificado precisa ser válido ao ativar o LDAPS.
    NotAfter O tempo após o qual o certificado não é válido. O certificado precisa ser válido ao ativar o LDAPS.
    KeyAlgorithm (algoritmo de assinatura) Algoritmos de assinatura fracos, como SHA-1, MD2 e MD5, não são compatíveis.

    • Cadeia emissora:é preciso fazer o upload de toda a cadeia de certificados, e ela precisa ser válida. A cadeia precisa ser linear e não pode haver várias cadeias.

    • Formato do certificado:o formato precisa atender aos Padrões de criptografia de chave pública (PKCS, na sigla em inglês) no 12. Use um arquivo PFX.

    Solicitação de um Public CA ou corporativa

    Para solicitar um certificado de um Public CA ou corporativa, siga estas etapas.

    Aceite o certificado na mesma VM em que a solicitação é gerada.

    Exporte o certificado no formato PKCS #12

    Para exportar o certificado no formato PKCS #12 (como um arquivo PFX), conclua as seguintes etapas:

    1. No Windows, navegue até seus certificados no Console de Gerenciamento da Microsoft (MMC, na sigla em inglês).

    2. Expanda Certificados de computador local e navegue até Pessoal > Certificados.

    3. Clique com o botão direito do mouse no certificado criado para ativar o LDAPS e selecione Todas as tarefas > Exportar.

    4. Na caixa de diálogo Certificate Export Assistant que é exibida, clique em Next.

    5. Na página Exportar chave privada, selecione Sim para exportar a chave privada.

    6. Na página Exportar formato do arquivo, marque a caixa de seleção Troca de informações pessoais - PKCS #12 (.PFX) e Incluir todos os certificados no caminho da certificação se possível. Clique em Avançar.

    7. Na página Segurança, marque a caixa de seleção Senha e digite uma senha forte para proteger o certificado. Clique em Next. Essa senha é necessária ao configurar LDAPS no domínio do Microsoft AD gerenciado.

    8. Na página Arquivo para exportar, insira o nome e o caminho do destino do arquivo PFX a ser exportado. Clique em Próximo.

    9. Clique em Finish.

    Para exportar um certificado autoassinado com a chave privada no formato PKCS #12 como um arquivo PFX, use o comando Export-PfxCertificate. Para exportar o certificado autoassinado como um arquivo PEM, use o comando Export-Certificate.

    Distribuir a cadeia do emissor para computadores clientes

    Para que o LDAPS funcione, todos os computadores clientes precisam confiar no emissor do certificado LDAPS. Para um Public CA conhecida, é possível que os computadores clientes já confiem na cadeia do emissor. Se a cadeia não for confiável, conclua as etapas a seguir para exportar a cadeia do emissor:

    1. No Windows, navegue até seus certificados no Console de Gerenciamento da Microsoft (MMC, na sigla em inglês).

    2. Abra Certificados de computador local e navegue até Pessoal > Certificados. Clique duas vezes no certificado LDAPS.

    3. Na janela Certificado, clique na guia Caminho da certificação.

    4. Na guia Caminho da certificação, selecione o certificado raiz no caminho.

    5. Clique em Ver certificado.

    6. Clique na guia Detalhes e em Copiar para o arquivo...

    7. Na caixa de diálogo Assistente de exportação de certificado exibida, selecione X.509 codificado em Base-64 e clique em Avançar.

    8. Selecione o nome do arquivo e o local para a cadeia de certificados e clique em Finish.

    9. Para copiar o certificado para o computador cliente que estabelece a conexão LDAPS, use a caixa de diálogo Certificate Import Wizard para importar o certificado para o repositório "Local Machine". Como alternativa, é possível distribuir a cadeia de certificados das autoridades emissoras para os computadores clientes usando a Política de Grupo no Windows.

    Para importar um certificado autoassinado para o repositório raiz confiável da máquina local, use o comando Import-Certificate.

    Ativar o LDAPS em um domínio do Microsoft AD gerenciado

    Antes de ativar o LDAPS no seu domínio do Microsoft AD gerenciado, faça o seguinte:

    1. Verifique se você tem um dos seguintes papéis do IAM:

      • Administrador de identidades gerenciadas do Google Cloud (roles/managedidentities.admin)
      • Administrador de domínio das identidades gerenciadas do Google Cloud (roles/managedidentities.domainAdmin)

      Para mais informações sobre os papéis do IAM do Microsoft AD gerenciado, consulte Controle de acesso.

    Para ativar o LDAPS no domínio do Microsoft AD gerenciado, siga estas etapas:

    Console

    1. No console do Google Cloud, acesse a página Microsoft AD gerenciado.
      Acessar o Microsoft AD gerenciado
    2. Na página Domínios, selecione um domínio na lista de instâncias para ativar o LDAPS.
    3. Na seção LDAPS da página Detalhes do domínio, clique em Configurar LDAPS.
    4. No painel Configurar LDAPS, digite o local do arquivo PFX e a senha que você usou para exportar o certificado no formato PKCS #12 e clique em Configurar LDAPS.

    gcloud

    Execute o seguinte comando da CLI gcloud:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    Substitua:

    • DOMAIN_NAME: o nome completo do recurso do domínio do Microsoft AD gerenciado. Formato do nome completo do recurso: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
    • PFX_FILENAME: o arquivo PFX formatado em PKCS #12 que especifica a cadeia de certificados usada para configurar o LDAPS.
    • PASSWORD: a senha usada para criptografar o certificado PKCS no 12. Se você não especificar a senha, ela será solicitada durante a execução do comando.

    Essa operação pode levar até 20 minutos para ser concluída. Para atualizar o certificado, repita essas etapas com o arquivo PFX atualizado.

    Verificar LDAPS

    Para verificar se o LDAPS está ativado, faça uma vinculação com o LDAPS. Esse processo usa LDP.exe, que é uma das ferramentas RSA instaladas ao associar uma VM ao domínio.

    Em uma VM do Windows do Google Cloud associada ao domínio, conclua as etapas a seguir no PowerShell:

    1. No PowerShell, inicie LDP.exe e navegue até Connection > Connect.

    2. Na caixa de diálogo Conectar, siga estas etapas:

      1. No campo Servidor, digite o nome do domínio.
      2. No campo Porta, digite 636.
      3. Marque a caixa de seleção SSL.
      4. Clique em OK.

      Se o LDAPS estiver ativado corretamente, a conexão será bem-sucedida.

    Monitorar um certificado

    É possível visualizar o time to live (TTL) de uma cadeia de certificados no Cloud Monitoring. A métrica cert_ttl mostra o número de dias válidos restantes para o certificado na cadeia com a expiração mais antiga.

    Console

    Para visualizar as métricas de um recurso monitorado usando o Metrics Explorer, faça o seguinte:

    1. No painel de navegação do console do Google Cloud, selecione Monitoramento e  Metrics Explorer:

      Acesse o Metrics explorer

    2. No elemento Métrica, expanda o menu Selecionar uma métrica, digite LDAPS Certificate TTL na barra de filtro e use os submenus para selecionar um tipo de recurso e métrica específicos:
      1. No menu Recursos ativos, selecione Domínio do Microsoft Active Directory.
      2. No menu Categorias de métricas ativas, selecione Microsoft_ad.
      3. No menu Métricas ativas, selecione TTL do certificado LDAPS.
      4. Clique em Aplicar.

    3. Para remover séries temporais da exibição, use o elemento Filtro.

    4. Para combinar séries temporais, use os menus no elemento Agregação. Por exemplo, para exibir a utilização da CPU para suas VMs, com base na zona, defina o primeiro menu como Média e o segundo como zona.

      Todas as séries temporais são exibidas quando o primeiro menu do elemento Agregação está definido como Não agregado. As configurações padrão do elemento Agregação são determinadas pelo tipo de métrica selecionada.

    5. Para cotas e outras métricas que informam uma amostra por dia, faça as seguintes ações:
      1. No painel Exibição, defina o Tipo de widget como Gráfico de barras empilhadas.
      2. Defina o período como pelo menos uma semana.

    Também é possível clicar em Monitoring na seção LDAPS da página Detalhes do domínio para acessar o Metrics Explorer.

    Também é possível usar o Editor de consultas para encontrar essas métricas.

    1. Na guia Métricas, selecione Editor de consultas.

    2. No campo de texto do Editor de consultas, insira a seguinte consulta MQL e selecione Executar consulta.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    Desativar o LDAPS

    Para desativar o LDAPS, siga estas etapas:

    Console

    1. No console do Google Cloud, acesse a página Microsoft AD gerenciado.
      Acessar o Microsoft AD gerenciado
    2. Na página Domínios, selecione o domínio na lista de instâncias em que você quer desativar o certificado.
    3. Na seção LDAPS da página Detalhes do domínio, clique em Desativar.

    gcloud

    Execute o seguinte comando da CLI gcloud:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    Substitua DOMAIN_NAME pelo nome completo do recurso do seu domínio do Microsoft AD gerenciado. Formato do nome completo do recurso: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

    Essa operação pode levar até 20 minutos para ser concluída. Para reativar o LDAPS, faça o upload dos certificados novamente.

    A seguir