启用 LDAPS

本页介绍了如何为 Managed Service for Microsoft Active Directory (托管式 Microsoft AD) 启用基于 SSL/TLS 的 LDAP (LDAPS),以确保 LDAP 流量的机密性和安全性。修改者 默认情况下,代管式 Microsoft AD 与客户端之间的通信 应用并未针对简单的 LDAP 绑定进行加密。

如需启用 LDAPS,您必须拥有证书。本页面还介绍了 了解所需证书的规范以及如何验证和监控该证书。

请求证书

您可以向 Public Certificate Authority 机构 (CA)、企业 CA、 Google Cloud Certificate Authority Service 或使用 自签名证书如果您使用自签名证书,请遵循 以下与 PowerShell 命令相关联的 Microsoft 文档 部分。

您可以在 Windows、OpenSSL 或 MakeCert 中使用 New-SelfSignedCertificate 命令创建自签名证书。

证书要求

您的证书必须满足以下要求:

参数 说明
Subject(主题名称) 此值必须是 Managed Microsoft AD 网域的带通配符前缀的名称,以确保服务在升级或恢复过程中保持可用。这是因为域控制器使用随机名称,这些名称会在升级或恢复过程中发生变化。例如,如果域名 为 ad.mycompany.com,正文名称必须为 CN=*.ad.mycompany.com
DnsName(DNS 名称或主题备用名称) 它只能包含以下内容:
  • 您的 Managed Microsoft AD 网域的通配符名称
  • 代管式 Microsoft AD 域名
    • 例如:"CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
    KeySpec 此参数必须设置为 1,表示它可用于数字签名和密钥交换。
    KeyLength 密钥大小下限取决于加密算法。
  • RSA:至少 2048 位
  • ECDSA:至少 256 位
  • ED25519:512 位(固定长度)
    		•
    KeyUsage 必须包含“数字签名”和“密钥加密”
    TextExtensionEnhancedKeyUsageExtension 它必须具有 OID=1.3.6.1.5.5.7.3.1 才能进行服务器身份验证。
    NotBefore 证书有效的时间。证书 必须有效。
    NotAfter 证书无效的时间。启用 LDAPS 时,证书必须有效。
    KeyAlgorithm(签名算法) 不支持弱签名算法,如 SHA-1、MD2、MD5。

    • 颁发链:必须上传整个证书链, 有效。链必须为线性,不能有多个链。

    • 证书格式:证书格式必须符合公钥加密标准 标准 (PKCS) #12.您必须使用 PFX 文件。

    向公共 CA 或企业 CA 提出请求

    要向 Public CA 或企业 CA 请求证书,请按以下步骤操作: 关注这些 步骤

    在生成请求的同一虚拟机上接受该证书。

    以 PKCS #12 格式导出证书

    如要以 PKCS #12 格式导出证书(作为 PFX 文件),请填写 操作步骤:

    1. 在 Windows 中,转到 Microsoft Management 控制台 (MMC)

    2. 展开本地计算机证书,然后导航到 个人 > 证书

    3. 右键点击您创建的证书以启用 LDAPS,然后选择 所有任务 > 导出

    4. 在随即显示的证书导出向导对话框中,点击下一步

    5. 导出私钥页面上,选择以导出私钥。

    6. 导出文件格式页面上,选择个人信息交换 - PKCS #12 (.PFX)如果可能,包括证书路径中的所有证书复选框。点击下一步

    7. 安全页面,选中密码复选框,然后输入一个安全系数高的 密码以保护证书。点击下一步。此密码为 在 Managed Microsoft AD 网域上配置 LDAPS 时需要。

    8. 要导出的文件页面上,输入要导出的 PFX 文件的目的地名称和路径。点击下一步

    9. 点击完成

    如需将包含 PKCS #12 格式私钥的自签名证书导出为 PFX 文件,请使用 Export-PfxCertificate 命令;如需将自签名证书导出为 PEM 文件,请使用 Export-Certificate 命令

    将发卡机构链分发到客户端计算机

    为了使 LDAPS 正常运行,所有客户端计算机都必须信任 LDAPS 证书的颁发者。对于知名的 Public CA 来说,客户端计算机 可能已经信任该发卡机构链。如果该链不受信任,请完成以下步骤,以导出颁发者链:

    1. 在 Windows 中,转到 Microsoft Management 控制台 (MMC)

    2. 展开本地计算机证书,然后导航到个人 > 证书。 双击 LDAPS 证书。

    3. 证书窗口中,点击认证路径标签页。

    4. 认证路径标签页上,选择路径中的根证书。

    5. 点击查看证书

    6. 点击详细信息标签页,然后点击复制到文件...

    7. 在随即显示的证书导出向导对话框中,选择以 Base-64 编码的 X.509,然后点击下一步

    8. 为证书链选择文件名和位置,然后点击完成

    9. 如需将证书复制到建立 LDAPS 连接的客户端计算机,请使用证书导入向导对话框在“本地机器”存储区中导入证书。或者,您也可以 将证书颁发机构的证书链发送到客户端计算机, 分组 政策

    将自签名证书导入本地 请使用 Import-Certificate 命令

    在 Managed Microsoft AD 网域上启用 LDAPS

    在 Managed Microsoft AD 网域上启用 LDAPS 之前,请执行以下操作:

    1. 确保您拥有以下某个 IAM 角色:

      • Google Cloud Managed Identities 管理员 (roles/managedidentities.admin)
      • Google Cloud Managed Identities Domain Admin (roles/managedidentities.domainAdmin)

      如需详细了解代管式 Microsoft AD IAM 角色, 请参阅访问权限控制

    如需在 Managed Microsoft AD 网域上启用 LDAPS,请完成以下步骤:

    控制台

    1. 在 Google Cloud 控制台中,前往 Managed Microsoft AD(代管式 Microsoft AD) 页面。
      前往 Managed Microsoft AD
    2. 网域页面上,从实例列表中选择一个网域 启用 LDAPS。
    3. 网域详情页面的 LDAPS 部分,点击 配置 LDAPS
    4. Configure LDAPS(配置 LDAPS)窗格中,输入 PFX 文件的位置,然后 用于在 PKCS #12 中导出证书的密码 格式,以及 然后点击配置 LDAPS

    gcloud

    运行以下 gcloud CLI 命令:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    替换以下内容:

    • DOMAIN_NAME完整资源 您的 Managed Microsoft AD 的名称 网域。完整资源名称格式: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME
    • PFX_FILENAME:PKCS #12 格式的 PFX 文件,用于指定 用于配置 LDAPS 的证书链。
    • PASSWORD:用于对 PKCS #12 证书进行加密的密码。如果您未指定密码,系统会在运行命令时提示您输入密码。

    此操作最多可能需要 20 分钟才能完成。如需更新证书,请执行以下操作: 对更新后的 PFX 文件重复上述步骤

    验证 LDAPS

    您可以通过执行 LDAPS 绑定来验证 LDAPS 是否已启用。此过程使用 LDP.exe,这是将虚拟机加入网域时安装的 RSAT 工具之一。

    在已加入网域的 Google Cloud Windows 虚拟机上,在 PowerShell 中完成以下步骤:

    1. 在 PowerShell 中,启动 LDP.exe 并导航到 连接 > 连接

    2. 连接对话框中,完成以下步骤:

      1. Server(服务器)字段中,输入您的域名。
      2. 端口字段中,输入 636
      3. 选中 SSL 复选框。
      4. 点击 OK(确定)。

      如果正确启用了 LDAPS,则连接将会成功。

    监控证书

    您可以在 Cloud Monitoring 中查看证书链的存留时间 (TTL)。cert_ttl 指标显示证书中具有最早过期证书的有效天数。

    控制台

    如需使用 Metrics Explorer 查看受监控资源的指标,请执行以下操作:

    1. 在 Google Cloud 控制台中,转到 Metrics Explorer 页面:

      进入 Metrics Explorer

      如果您使用搜索栏查找此页面,请选择子标题为监控的结果。

    2. 指标元素中,展开选择指标菜单,在过滤栏中输入 LDAPS Certificate TTL,然后使用子菜单选择一个特定资源类型和指标:
      1. Active resources(活动资源)菜单中,选择 Microsoft Active Directory Domain(Microsoft Active Directory 网域)。
      2. 活跃指标类别菜单中,选择 Microsoft_ad
      3. 活跃指标菜单中,选择 LDAPS 证书 TTL
      4. 点击应用

    3. 如需从显示结果中移除时序,请使用过滤条件元素

    4. 如需组合时序,请使用聚合元素上的菜单。例如,如需根据虚拟机所在的可用区显示虚拟机的 CPU 利用率,请将第一个菜单设置为平均值,并将第二个菜单设置为可用区

      聚合元素的第一个菜单设置为未聚合时,系统会显示所有时序。聚合元素的默认设置由您选择的指标类型决定。

    5. 对于配额和每天报告一个样本的其他指标,请执行以下操作:
      1. 显示窗格中,将微件类型设置为堆叠条形图
      2. 将时间段设置为至少一周。

    您还可以点击网域详情页面 LDAPS 部分中的监控,前往 Metrics Explorer

    您还可以使用查询编辑器来查找这些指标。

    1. 指标标签页上,选择查询编辑器

    2. 查询编辑器的文本字段中,输入以下 MQL 查询,然后选择运行查询

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    停用 LDAPS

    要停用 LDAPS,请完成以下步骤:

    控制台

    1. 在 Google Cloud 控制台中,前往 Managed Microsoft AD 页面。
      前往“代管式 Microsoft AD”页面
    2. Domains(网域)页面上,从实例列表中选择要停用证书的网域。
    3. 网域详情页面的 LDAPS 部分,点击 停用

    gcloud

    运行以下 gcloud CLI 命令:

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    DOMAIN_NAME 替换为完整资源 您的 Managed Microsoft AD 的名称 网域。资源全名格式:projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME

    此操作最多可能需要 20 分钟才能完成。如需重新启用 LDAPS,您必须重新上传证书。

    后续步骤