Ativar o LDAPS

Nesta página, mostramos como ativar o LDAP sobre SSL/TLS (LDAPS) para o Serviço Gerenciado para Microsoft Active Directory (Managed Microsoft AD) e tornar seu tráfego LDAP confidencial e seguro. Por padrão, a comunicação entre o Managed Microsoft AD e os aplicativos cliente não é criptografada para vinculações LDAP simples.

Para ativar o LDAPS, você precisa ter um certificado. Nesta página, também descrevemos as especificações do certificado necessário e como verificá-lo e monitorá-lo.

Solicitar um certificado

É possível solicitar um certificado de uma autoridade de certificação (CA) pública, da CA Enterprise, do Google Cloud Certificate Authority Service ou usar um certificado autoassinado. Se você usar um certificado autoassinado, siga a documentação da Microsoft vinculada aos comandos do PowerShell nas seções a seguir.

É possível criar um certificado autoassinado com o comando New-SelfSignedCertificate no Windows, OpenSSL ou MakeCert.

Requisitos de certificado

O certificado precisa atender aos seguintes requisitos:

  • A tabela a seguir descreve os requisitos para criar um certificado autoassinado e lista os parâmetros associados usados no comando New-SelfSignedCertificate. Os nomes de parâmetros ou campos podem variar de acordo com a forma como você cria o certificado.
Parâmetro Descrição
Subject (nome do assunto) Precisa ser o nome com prefixo de caractere curinga do seu domínio do Microsoft AD gerenciado para garantir que o serviço permaneça disponível durante um processo de upgrade ou restauração. Isso acontece porque os controladores de domínio usam nomes aleatórios que mudam durante um processo de upgrade ou restauração. Por exemplo, se o nome do domínio for ad.mycompany.com, o nome do assunto precisará ser CN=*.ad.mycompany.com
DnsName (nome DNS ou nome alternativo do assunto) Ele precisa incluir apenas o seguinte:
  • Nome curinga do domínio do Microsoft AD gerenciado
  • Nome do domínio do Managed Microsoft AD
    • Por exemplo, "CN=*.ad.mycompany.com","CN=.ad.mycompany.com".
    KeySpec Precisa ser definido como 1, o que indica que pode ser usado para assinatura digital e troca de chaves.
    KeyLength O tamanho mínimo da chave depende do algoritmo de criptografia.
  • RSA:pelo menos 2.048 bits
  • ECDSA:pelo menos 256 bits
  • ED25519:512 bits (comprimento fixo)
    		•
    KeyUsage Precisa incluir "assinaturas digitais" e "criptografia de chave".
    TextExtension ou EnhancedKeyUsageExtension Ele precisa ter OID=1.3.6.1.5.5.7.3.1 para autenticação do servidor.
    NotBefore A hora a partir da qual o certificado é válido. O certificado precisa ser válido ao ativar LDAPS.
    NotAfter O tempo após o qual o certificado não é válido. O certificado precisa ser válido ao ativar LDAPS.
    KeyAlgorithm (algoritmo de assinatura) Algoritmos de assinatura fracos, como SHA-1, MD2, MD5, não são aceitos.

    • Cadeia de emissão:toda a cadeia de certificados precisa ser carregada e válida. A cadeia precisa ser linear e não pode haver várias cadeias.

    • Formato do certificado:o formato precisa atender aos padrões de criptografia de chave pública (PKCS) #12. Use um arquivo PFX.

    Solicitar um Public CA ou corporativa

    Para solicitar um certificado de um Public CA ou corporativa, siga estas etapas.

    Aceite o certificado na mesma VM em que a solicitação é gerada.

    Exportar o certificado no formato PKCS #12

    Para exportar o certificado no formato PKCS #12 (como um arquivo PFX), siga estas etapas:

    1. No Windows, acesse os certificados no Microsoft Management Console (MMC).

    2. Expanda Certificados locais do computador e navegue até Pessoal > Certificados.

    3. Clique com o botão direito do mouse no certificado criado para ativar o LDAPS e selecione Todas as tarefas > Exportar.

    4. Na caixa de diálogo Assistente de exportação de certificados, clique em Próxima.

    5. Na página Exportar chave privada, selecione Sim para exportar a chave privada.

    6. Na página Exportar formato do arquivo, selecione a caixa de seleção Trocar informações pessoais - PKCS #12 (.PFX) e Inclua todos os certificados no caminho de certificação se possível. Clique em Avançar.

    7. Na página Segurança, marque a caixa de seleção Senha e digite uma senha forte para proteger o certificado. Clique em Next. Essa senha é obrigatória ao configurar o LDAPS no seu domínio do Microsoft AD gerenciado.

    8. Na página Arquivo a exportar, insira o nome do destino e o caminho do arquivo PFX que será exportado. Clique em Next.

    9. Clique em Concluir.

    Para exportar um certificado autoassinado com a chave privada no formato PKCS #12 como um arquivo PFX, use o comando Export-PfxCertificate e, para exportar o certificado autoassinado como um arquivo PEM, use o comando Export-Certificate.

    Distribuir a cadeia de emissores para computadores clientes

    Para que o LDAPS funcione, todos os computadores clientes precisam confiar no emissor do certificado LDAPS. Para um Public CA conhecida, os computadores clientes já podem confiar na cadeia do emissor. Se a cadeia não for confiável, conclua as etapas a seguir para exportar a cadeia do emissor:

    1. No Windows, acesse os certificados no Microsoft Management Console (MMC).

    2. Expanda Certificados locais do computador e navegue até Pessoal > Certificados. Clique duas vezes no certificado LDAPS.

    3. Na janela Certificado, clique na guia Caminho da certificação.

    4. Na guia Caminho da certificação, selecione o certificado raiz no caminho.

    5. Clique em Ver certificado.

    6. Clique na guia Detalhes e em Copiar para arquivo...

    7. Na caixa de diálogo Assistente de exportação de certificados, selecione X.509 codificado em Base 64 e clique em Próxima.

    8. Selecione o nome do arquivo e o local da cadeia de certificados e clique em Concluir.

    9. Para copiar o certificado para o computador cliente que estabelece a conexão LDAPS, use a caixa de diálogo Assistente de importação de certificados para importar o certificado no armazenamento "Máquina Local". Como alternativa, é possível distribuir a cadeia de certificados de autoridades emissoras para os computadores clientes usando a Política de Grupo no Windows.

    Para importar um certificado autoassinado para o armazenamento raiz confiável da máquina local, use o comando Import-Certificate.

    Ativar o LDAPS em um domínio gerenciado do Microsoft AD

    Antes de ativar o LDAPS no seu domínio do Managed Microsoft AD, faça o seguinte:

    1. Verifique se você tem um dos seguintes papéis do IAM:

      • Google Cloud Administrador de identidades gerenciadas (roles/managedidentities.admin)
      • Google Cloud Administrador de domínio das identidades gerenciadas (roles/managedidentities.domainAdmin)

      Para mais informações sobre os papéis do IAM do Microsoft AD gerenciado, consulte Controle de acesso.

    Para ativar o LDAPS no seu domínio do Microsoft AD gerenciado, conclua as etapas a seguir:

    Console

    1. No console do Google Cloud , acesse a página Microsoft AD gerenciado.
      Acessar o Managed Microsoft AD
    2. Na página Domínios, selecione um domínio na lista de instâncias para ativar o LDAPS.
    3. Na seção LDAPS da página Detalhes do domínio, clique em Configurar LDAPS.
    4. No painel Configurar LDAPS, insira o local do arquivo PFX e a senha que você usou para exportar o certificado no formato PKCS #12. Em seguida, clique em Configurar LDAPS.

    gcloud

    Execute o seguinte comando da CLI gcloud:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    Substitua:

    • DOMAIN_NAME: o nome completo do recurso do seu domínio do Microsoft AD gerenciado. Formato completo do nome do recurso: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
    • PFX_FILENAME: o arquivo PFX formatado em PKCS #12 que especifica a cadeia de certificados usada para configurar o LDAPS.
    • PASSWORD: a senha usada para criptografar o certificado PKCS #12. Se você não especificar a senha, ela será solicitada durante a execução do comando.

    Essa operação pode levar até 20 minutos para ser concluída. Para atualizar o certificado, repita essas etapas com o arquivo PFX atualizado.

    Verificar o LDAPS

    É possível verificar se o LDAPS está ativado executando uma vinculação LDAPS. Esse processo usa LDP.exe, que é uma das ferramentas RSAT instaladas quando você associa uma VM ao domínio.

    Em uma VM do Windows mesclada ao domínio Google Cloud , conclua as etapas a seguir no PowerShell:

    1. No PowerShell, inicie LDP.exe e navegue até Conexão > Conectar.

    2. Na caixa de diálogo Conectar, siga estas etapas:

      1. No campo Servidor, digite o nome do seu domínio.
      2. No campo Porta, digite 636.
      3. Marque a caixa de seleção SSL.
      4. Clique em OK.

      Se o LDAPS estiver ativado corretamente, a conexão será bem-sucedida.

    Monitorar um certificado

    É possível visualizar o time to live (TTL) de uma cadeia de certificados no Cloud Monitoring. A métrica cert_ttl mostra o número de dias válidos restantes para o certificado na cadeia com a expiração mais antiga.

    Console

    Para visualizar as métricas de um recurso monitorado usando o Metrics Explorer, faça o seguinte:

    1. No console Google Cloud , acesse a página  Metrics Explorer:

      Acesse o Metrics explorer

      Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoring.

    2. Na barra de ferramentas do console Google Cloud , selecione seu projeto Google Cloud . Para configurações do App Hub, selecione o projeto host do App Hub ou o projeto de gerenciamento da pasta habilitada para apps.
    3. No elemento Metric, expanda o menu Selecionar uma métrica, digite LDAPS Certificate TTL na barra de filtro e use os submenus para selecionar um tipo de recurso e métrica específicos:
      1. No menu Recursos ativos, selecione Domínio do Microsoft Active Directory.
      2. No menu Categorias de métricas ativas, selecione Microsoft_ad.
      3. No menu Métricas ativas, selecione TTL do certificado LDAPS.
      4. Clique em Aplicar.

    4. Para adicionar filtros que removem séries temporais dos resultados da consulta, use o elemento Filtro.

    5. Para combinar séries temporais, use os menus no elemento Agregação. Por exemplo, para exibir a utilização da CPU para suas VMs, com base na zona, defina o primeiro menu como Média e o segundo como zona.

      Todas as séries temporais são exibidas quando o primeiro menu do elemento Agregação está definido como Não agregado. As configurações padrão do elemento Agregação são determinadas pelo tipo de métrica selecionada.

    6. Para cotas e outras métricas que informam uma amostra por dia, faça as seguintes ações:
      1. No painel Exibição, defina o Tipo de widget como Gráfico de barras empilhadas.
      2. Defina o período como pelo menos uma semana.

    Também é possível clicar em Monitoring na seção LDAPS da página Detalhes do domínio para acessar o Metrics Explorer.

    Também é possível usar o Editor de consultas para encontrar essas métricas.

    1. Na guia Métricas, selecione Editor de consultas.

    2. No campo de texto do Editor de consultas, insira a seguinte consulta de MQL e selecione Executar consulta.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    Desativar o LDAPS

    Para desativar o LDAPS, siga estas etapas:

    Console

    1. No console do Google Cloud , acesse a página Microsoft AD gerenciado.
      Acessar o Managed Microsoft AD
    2. Na página Domínios, selecione o domínio na lista de instâncias em que você quer desativar o certificado.
    3. Na seção LDAPS da página Detalhes do domínio, clique em Desativar.

    gcloud

    Execute o seguinte comando da CLI gcloud:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    Substitua DOMAIN_NAME pelo nome completo do recurso do seu domínio do Microsoft AD gerenciado. Formato completo do nome do recurso: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

    Essa operação pode levar até 20 minutos para ser concluída. Para reativar o LDAPS, refaça o upload dos certificados.

    A seguir