Ativar o LDAPS

Esta página mostra como ativar o LDAP sobre SSL/TLS (LDAPS) para o serviço gerenciado para Microsoft Active Directory (Microsoft AD gerenciado) para tornar seu tráfego LDAP confidencial e seguro. De padrão, a comunicação entre o Microsoft AD gerenciado e o cliente aplicativos não é criptografado para vínculos LDAP simples.

Para ativar o LDAPS, você precisa ter um certificado. Esta página também descreve as especificações do certificado necessário e como verificá-lo e monitorá-lo.

Solicitar um certificado

É possível solicitar um certificado a uma autoridade de certificação (CA, na sigla em inglês) pública, CA corporativa, Certificate Authority Service do Google Cloud ou use certificado autoassinado. Se você usar um certificado autoassinado, siga a documentação da Microsoft vinculada aos comandos do PowerShell nas seções a seguir.

É possível criar um certificado autoassinado com o New-SelfSignedCertificate no Windows, OpenSSL ou MakeCert.

Requisitos de certificado

Seu certificado precisa atender aos seguintes requisitos:

  • A tabela a seguir descreve os requisitos para criar um certificado autoassinado e lista os parâmetros associados usados no comando New-SelfSignedCertificate. Os nomes de parâmetro ou de campo podem variar de acordo com a forma como você cria o certificado.
Parâmetro Descrição
Subject (nome do assunto) Precisa ser o nome com prefixo de caractere curinga do seu domínio do Microsoft AD gerenciado para garantir que o serviço permaneça disponível durante um processo de upgrade ou restauração. Isso ocorre porque os controladores de domínio usam que mudam durante um processo de upgrade ou restauração. Por exemplo, se o nome de domínio for ad.mycompany.com, o nome do assunto precisará ser CN=*.ad.mycompany.com
DnsName (nome DNS ou nome alternativo do assunto) Ele precisa incluir apenas o seguinte:
  • Nome curinga do domínio do Microsoft AD gerenciado
  • Nome de domínio do Microsoft AD gerenciado
    • Por exemplo, "CN=*.ad.mycompany.com","CN=.ad.mycompany.com".
    KeySpec Precisa ser definido como 1, o que indica que pode ser usado para assinatura digital e troca de chaves.
    KeyLength O tamanho mínimo da chave depende do algoritmo criptográfico.
  • RSA: pelo menos 2.048 bits
  • ECDSA: pelo menos 256 bits
  • ED25519: 512 bits (comprimento fixo)
    		•
    KeyUsage Precisa incluir "assinaturas digitais" e "criptografia de chave".
    TextExtension ou EnhancedKeyUsageExtension Precisa ter OID=1.3.6.1.5.5.7.3.1 para autenticação do servidor.
    NotBefore A hora a partir da qual o certificado é válido. O certificado precisa ser válido ao ativar o LDAPS.
    NotAfter O tempo após o qual o certificado não é válido. O certificado precisa ser válido ao ativar o LDAPS.
    KeyAlgorithm (algoritmo de assinatura) Algoritmos de assinatura fracos, como SHA-1, MD2, MD5, não tem suporte.

    • Cadeia de emissão: toda a cadeia de certificados precisa ser carregada e válida. A cadeia precisa ser linear e não pode haver várias cadeias.

    • Formato do certificado: o formato precisa atender aos padrões de criptografia de chave pública (PKCS) #12. Use um arquivo PFX.

    Solicitação de um Public CA ou corporativa

    Para solicitar um certificado de uma CA pública ou corporativa, siga estas etapas.

    Aceite o certificado na mesma VM em que a solicitação é gerada.

    Exporte o certificado no formato PKCS #12

    Para exportar o certificado no formato PKCS no 12 (como um arquivo PFX), preencha o seguintes etapas:

    1. No Windows, acesse seus certificados no Microsoft Management Console (MMC).

    2. Expanda Certificados de Computador Local e acesse Pessoal > Certificados.

    3. Clique com o botão direito do mouse no certificado que você criou para ativar o LDAPS e selecione Todas as tarefas > Exportar.

    4. Na caixa de diálogo Assistente de exportação de certificados exibida, clique em Próximo.

    5. Na página Exportar chave privada, selecione Sim para exportar a chave privada.

    6. Na página Exportar formato do arquivo, selecione Trocar informações pessoais - PKCS #12 (.PFX) e marque a caixa de seleção Incluir todos os certificados no caminho de certificação se possível. Clique em Avançar.

    7. Na página Segurança, marque a caixa de seleção Senha e digite uma senha forte senha para proteger o certificado. Clique em Next. Essa senha é necessária ao configurar o LDAPS no seu domínio do Microsoft AD gerenciado.

    8. Na página Arquivo a exportar, insira o nome e o caminho do destino para exportar o arquivo PFX. Clique em Próximo.

    9. Clique em Concluir.

    Para exportar um certificado autoassinado com a chave privada no formato PKCS no 12 como um PFX, use o arquivo Export-PfxCertificate comando e, para exportar o certificado autoassinado como um arquivo PEM, use o Export-Certificate comando.

    Distribuir a cadeia de emissores para computadores clientes

    Para que o LDAPS funcione, todos os computadores clientes precisam confiar no emissor do certificado LDAPS. Para uma AC pública conhecida, os computadores clientes já podem confiar na cadeia do emissor. Se a cadeia não for confiável, conclua o etapas a seguir para exportar a cadeia do emissor:

    1. No Windows, acesse seus certificados no Microsoft Management Console (MMC).

    2. Expanda Certificados do Computador Local e acesse Pessoal > Certificados. Clique duas vezes no certificado LDAPS.

    3. Na janela Certificado, clique na guia Caminho de certificação.

    4. Na guia Caminho da certificação, selecione o certificado raiz no caminho.

    5. Clique em Ver certificado.

    6. Clique na guia Detalhes e em Copiar para arquivo....

    7. Na caixa de diálogo Assistente de exportação de certificados que aparece, selecione X.509 codificado em Base 64 e clique em Próxima.

    8. Selecione o nome do arquivo e o local da cadeia de certificados e clique em Concluir.

    9. Para copiar o certificado para o computador cliente que estabelece a conexão LDAPS, use a caixa de diálogo Assistente de importação de certificados para importar o certificado na loja "Máquina local". Outra opção é distribuir a cadeia de certificados das autoridades emissoras para os computadores clientes usando Grupo Política no Windows.

    .

    Para importar um certificado autoassinado para o repositório raiz confiável da máquina, use o método Import-Certificate comando.

    Ativar o LDAPS em um domínio gerenciado do Microsoft AD

    Antes de ativar o LDAPS no seu domínio do Microsoft AD gerenciado, faça o seguinte:

    1. Verifique se você tem um dos seguintes papéis do IAM:

      • Administrador de identidades gerenciadas do Google Cloud (roles/managedidentities.admin)
      • Administrador de domínio das identidades gerenciadas do Google Cloud (roles/managedidentities.domainAdmin)

      Para mais informações sobre os papéis do IAM do Microsoft AD gerenciado, consulte Controle de acesso.

    Para ativar o LDAPS no seu domínio do Microsoft AD gerenciado, siga estas etapas:

    Console

    1. No console do Google Cloud, acesse a página Microsoft AD gerenciado.
      Acessar o Microsoft AD gerenciado
    2. Na página Domains, selecione um domínio na lista de instâncias para ativar o LDAPS.
    3. Na seção LDAPS da página Detalhes do domínio, clique em Configurar LDAPS.
    4. No painel Configure LDAPS, digite a localização do arquivo PFX e a senha que você usou para exportar o certificado em PKCS #12 formato e clique em Configure LDAPS.

    gcloud

    Execute o seguinte comando da CLI gcloud:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    Substitua:

    • DOMAIN_NAME: o recurso completo nome do Microsoft AD gerenciado domínio. Formato do nome completo do recurso: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME:
    • PFX_FILENAME: o arquivo PFX formatado em PKCS #12 que especifica a cadeia de certificados usada para configurar o LDAPS.
    • PASSWORD: a senha usada para criptografar o PKCS #12 certificado. Se você não especificar a senha, ela será solicitada durante a execução do comando.

    Essa operação pode levar até 20 minutos para ser concluída. Para atualizar o certificado, repita estas etapas com o arquivo PFX atualizado.

    Verificar o LDAPS

    É possível verificar se o LDAPS está ativado realizando uma vinculação LDAPS. Esse processo usa LDP.exe, um dos métodos RSAT ferramentas que você instala quando mescla uma VM ao domínio.

    Em uma VM do Windows do Google Cloud associada ao domínio, conclua as etapas a seguir em PowerShell:

    1. No PowerShell, inicie LDP.exe e navegue até Conexão > Conectar.

    2. Na caixa de diálogo Conectar, siga estas etapas:

      1. No campo Servidor, digite seu nome de domínio.
      2. No campo Porta, digite 636.
      3. Marque a caixa de seleção SSL.
      4. Clique em OK.

      Se o LDAPS estiver ativado corretamente, a conexão será bem-sucedida.

    Monitorar um certificado

    É possível visualizar o time to live (TTL) de uma cadeia de certificados no Cloud Monitoring. A métrica cert_ttl mostra o número de dias válidos restantes para o certificado na cadeia com a expiração mais antiga.

    Console

    Para visualizar as métricas de um recurso monitorado usando o Metrics Explorer, faça o seguinte:

    1. No console do Google Cloud, acesse a página do  Metrics Explorer:

      Acesse o Metrics explorer

      Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoramento.

    2. No elemento Metric, expanda o menu Selecionar uma métrica, digite LDAPS Certificate TTL na barra de filtro e use os submenus para selecionar um tipo de recurso e métrica específicos:
      1. No menu Recursos ativos, selecione Domínio do Microsoft Active Directory.
      2. No menu Categorias de métricas ativas, selecione Microsoft_ad.
      3. No menu Métricas ativas, selecione TTL do certificado LDAPS.
      4. Clique em Aplicar.

    3. Para remover séries temporais da exibição, use o elemento Filtro.

    4. Para combinar séries temporais, use os menus no elemento Agregação. Por exemplo, para exibir a utilização da CPU para suas VMs, com base na zona, defina o primeiro menu como Média e o segundo como zona.

      Todas as séries temporais são exibidas quando o primeiro menu do elemento Agregação está definido como Não agregado. As configurações padrão do elemento Agregação são determinadas pelo tipo de métrica selecionada.

    5. Para cotas e outras métricas que informam uma amostra por dia, faça as seguintes ações:
      1. No painel Exibição, defina o Tipo de widget como Gráfico de barras empilhadas.
      2. Defina o período como pelo menos uma semana.

    Também é possível clicar em Monitoramento na seção LDAPS da página Detalhes do domínio para acessar o Metrics Explorer.

    Você também pode usar o Editor de consultas para encontrar essas métricas.

    1. Na guia Métricas, selecione Editor de consultas.

    2. No campo de texto do Editor de consultas, insira a seguinte consulta MQL e selecione Executar consulta.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    Desativar o LDAPS

    Para desativar o LDAPS, siga estas etapas:

    Console

    1. No console do Google Cloud, acesse a página Microsoft AD gerenciado.
      Acessar o Microsoft AD gerenciado
    2. Na página Domínios, selecione o domínio na lista de instâncias para a qual você quer desativar o certificado.
    3. Na seção LDAPS da página Detalhes do domínio, clique em Desativar.

    gcloud

    Execute o seguinte comando da CLI gcloud:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    Substitua DOMAIN_NAME pelo nome completo do recurso do seu domínio do Microsoft AD gerenciado. Formato do nome completo do recurso: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME:

    Essa operação pode levar até 20 minutos para ser concluída. Para reativar o LDAPS, refaça o upload dos certificados.

    A seguir