本頁說明如何為 Microsoft Active Directory 的代管服務 (代管 Microsoft AD) 啟用 LDAP over SSL/TLS (LDAPS),確保 LDAP 流量的機密性和安全性。根據預設,代管 Microsoft AD 與用戶端應用程式之間的通訊不會加密,以進行簡單的 LDAP 繫結。
如要啟用 LDAPS,您必須擁有憑證。本頁面也說明必要憑證的規格,以及如何驗證和監控憑證。
要求取得憑證
您可以向公開憑證授權單位 (CA)、企業 CA、Google Cloud 憑證授權單位服務要求憑證,也可以使用自行簽署的憑證。如果您使用自行簽署的憑證,請參閱下列各節中 PowerShell 指令的 Microsoft 說明文件。
您可以使用 Windows、OpenSSL 或 MakeCert 的 New-SelfSignedCertificate 指令建立自行簽署的憑證。
憑證規定
憑證必須符合下列規定:
- 下表列出建立自行簽署憑證的規定,以及
New-SelfSignedCertificate指令中使用的相關參數。請注意,參數或欄位名稱可能因您建立憑證的方式而異。
| 參數 | 說明 |
|---|---|
Subject (主旨名稱) |
這必須是 Managed Microsoft AD 網域的萬用字元前置名稱,才能確保服務在升級或還原程序期間維持可用狀態。這是因為網域控制器會使用隨機名稱,且名稱會在升級或還原程序中變更。舉例來說,如果網域名稱是 ad.mycompany.com,主體名稱就必須是 CN=*.ad.mycompany.com。 |
DnsName (DNS 名稱或主體替代名稱) |
掃描圖片/螢幕截圖必須清楚呈現下列資訊:"CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
|
KeySpec |
必須設為 1,表示可用於數位簽章和金鑰交換。 |
KeyLength |
最低金鑰大小取決於加密演算法。 |
KeyUsage |
必須包含「數位簽章」和「金鑰加密」。 |
TextExtension或EnhancedKeyUsageExtension |
必須有 OID=1.3.6.1.5.5.7.3.1,才能進行伺服器驗證。
|
NotBefore |
憑證生效時間。啟用 LDAPS 時,憑證必須有效。 |
NotAfter |
憑證失效的時間。啟用 LDAPS 時,憑證必須有效。 |
KeyAlgorithm (簽章演算法) |
系統不支援 SHA-1、MD2、MD5 等簽章演算法。 |
核發鏈結:必須上傳整個憑證鏈結,且必須有效。鏈結必須是線性,且不得有多個鏈結。
憑證格式:格式必須符合公開金鑰密碼編譯標準 (PKCS) #12。您必須使用 PFX 檔案。
向公開 CA 或企業 CA 提出要求
如要向公開 CA 或企業 CA 要求憑證,請按照這些步驟操作。
在產生要求的相同 VM 上接受憑證。
以 PKCS #12 格式匯出憑證
如要以 PKCS #12 格式匯出憑證 (PFX 檔案),請完成下列步驟:
在 Windows 中,前往 Microsoft 管理控制台 (MMC) 中的憑證。
展開「本機電腦憑證」,然後依序前往「個人」> 憑證」。
在您建立的憑證上按一下滑鼠右鍵,然後依序選取「所有工作」>「匯出」,啟用 LDAPS。
在隨即顯示的「Certificate Export Wizard」(憑證匯出精靈) 對話方塊中,按一下「Next」(下一步)。
在「匯出私密金鑰」頁面中,選取「是」即可匯出私密金鑰。
在「Export File Format」(匯出檔案格式) 頁面中,選取「Personal Information Exchange - PKCS #12 (.PFX)」(個人資訊交換 - PKCS #12 (.PFX)) 和「Include all certificates in the certification path if possible」(盡可能在認證路徑中加入所有憑證) 核取方塊。按一下「Next」(下一步)。
在「安全性」頁面中,選取「密碼」核取方塊,然後輸入高強度密碼來保護憑證。點選「下一步」。在 Managed Microsoft AD 網域上設定 LDAPS 時,必須使用這個密碼。
在「File to Export」(要匯出的檔案) 頁面中,輸入要匯出 PFX 檔案的目的地名稱和路徑。點選「下一步」。
按一下「完成」。
如要將 PKCS #12 格式的私密金鑰連同自行簽署憑證匯出為 PFX 檔案,請使用 Export-PfxCertificate 指令;如要將自行簽署憑證匯出為 PEM 檔案,請使用 Export-Certificate 指令。
將簽發者鏈結發布至用戶端電腦
如要讓 LDAPS 正常運作,所有用戶端電腦都必須信任 LDAPS 憑證的簽發者。如果是知名的公開 CA,用戶端電腦可能已信任核發機構鏈。如果系統不信任該鏈結,請完成下列步驟來匯出簽發者鏈結:
在 Windows 中,前往 Microsoft 管理控制台 (MMC) 中的憑證。
展開「本機電腦憑證」,然後依序前往「個人」> 憑證」。 按兩下 LDAPS 憑證。
在「憑證」視窗中,按一下「認證路徑」分頁標籤。
在「認證路徑」分頁中,選取路徑中的根憑證。
按一下「查看認證」。
按一下「詳細資料」分頁標籤,然後點選「複製到檔案...」
在隨即顯示的「Certificate Export Wizard」(憑證匯出精靈) 對話方塊中,選取「Base-64 encoded X.509」(Base-64 編碼的 X.509),然後按一下「Next」(下一步)。
選取憑證鏈的檔案名稱和位置,然後按一下「完成」。
如要將憑證複製到建立 LDAPS 連線的用戶端電腦,請使用「憑證匯入精靈」對話方塊,在「本機」存放區中匯入憑證。或者,您也可以使用 Windows 的群組原則,將簽發機構的憑證鏈發布至用戶端電腦。
如要將自行簽署的憑證匯入本機的信任根存放區,請使用 Import-Certificate
指令。
在代管的 Microsoft AD 網域上啟用 LDAPS
在 Managed Microsoft AD 網域上啟用 LDAPS 前,請先完成下列事項:
請確認您具備下列其中一個 IAM 角色:
- Google Cloud Managed Identities 管理員 (
roles/managedidentities.admin) - Google Cloud Managed Identities 網域管理員
(
roles/managedidentities.domainAdmin)
如要進一步瞭解 Managed Microsoft AD IAM 角色,請參閱存取權控管。
- Google Cloud Managed Identities 管理員 (
如要在代管的 Microsoft AD 網域上啟用 LDAPS,請完成下列步驟:
主控台
- 前往 Google Cloud 控制台的「Managed Microsoft AD」頁面。
前往代管的 Microsoft AD - 在「網域」頁面中,從執行個體清單選取要啟用 LDAPS 的網域。
- 在「網域詳細資料」頁面的「LDAPS」部分,按一下「設定 LDAPS」。
- 在「設定 LDAPS」窗格中,輸入 PFX 檔案的位置和以 PKCS #12 格式匯出憑證時使用的密碼,然後按一下「設定 LDAPS」。
gcloud
執行下列 gcloud CLI 指令:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
--certificate-pfx-file=PFX_FILENAME \
--certificate-password=PASSWORD
更改下列內容:
- DOMAIN_NAME:Managed Microsoft AD 網域的完整資源名稱。完整資源名稱格式:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME。 - PFX_FILENAME:PKCS #12 格式的 PFX 檔案,用於指定設定 LDAPS 時使用的憑證鏈結。
- PASSWORD:用於加密 PKCS #12 憑證的密碼。如未指定密碼,系統會在執行指令時提示輸入密碼。
這項作業最多需要 20 分鐘才能完成。如要更新憑證,請使用更新後的 PFX 檔案重複上述步驟。
驗證 LDAPS
您可以執行 LDAPS 繫結,確認 LDAPS 是否已啟用。這個程序會使用 LDP.exe,這是您將 VM 加入網域時安裝的 RSAT 工具之一。
在已加入網域的 Google Cloud Windows VM 上,於 PowerShell 中完成下列步驟:
在 PowerShell 中啟動
LDP.exe,然後依序前往「連線」>「連線」。在「Connect」(連線) 對話方塊中,完成下列步驟:
- 在「伺服器」欄位中輸入網域名稱。
- 在「Port」(通訊埠) 欄位中輸入
636。 - 勾選「SSL」SSL核取方塊。
- 按一下 [確定]。
如果已正確啟用 LDAPS,連線就會成功。
監控憑證
您可以在 Cloud Monitoring 中查看憑證鏈的存留時間 (TTL)。cert_ttl 指標會顯示憑證鏈中到期日最早的憑證,剩餘的有效天數。
主控台
如要使用 Metrics Explorer 查看受監控資源的指標,請按照下列步驟操作:
-
前往 Google Cloud 控制台的 leaderboard「Metrics Explorer」頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果。
- 在 Google Cloud 控制台的工具列中,選取您的 Google Cloud 專案。 如要進行 App Hub 設定,請選取 App Hub 主專案或已啟用應用程式的資料夾的管理專案。
- 在「指標」元素中,展開「選取指標」選單,
在篩選列中輸入
LDAPS Certificate TTL, 然後使用子選單選取特定資源類型和指標: 如要新增篩選器,從查詢結果中移除時間序列,請使用「Filter」元素。
如要合併時間序列,請使用「Aggregation」元素上的選單。舉例來說,如要依據 VM 所在區域顯示 CPU 使用率,請將第一個選單設為「平均值」,第二個選單設為「區域」。
將「Aggregation」(匯總) 元素的第一個選單設為「Unaggregated」(未匯總) 時,系統會顯示所有時間序列。「匯總」元素的預設設定取決於您選取的指標類型。
- 如要查看每日回報一個樣本的配額和其他指標,請按照下列步驟操作:
- 在「顯示」窗格中,將「小工具類型」設為「堆疊長條圖」。
- 將時間範圍設為至少一週。
您也可以在「網域詳細資料」頁面的「LDAPS」部分點選「監控」,前往「指標探索器」。
您也可以使用查詢編輯器找出這些指標。
在「指標」分頁中,選取「查詢編輯器」。
在「查詢編輯器」的文字欄位中,輸入下列 MQL 查詢,然後選取「執行查詢」。
fetch microsoft_ad_domain | metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl' | group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)] | every 1m | group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]
停用 LDAPS
如要停用 LDAPS,請完成下列步驟:
主控台
- 前往 Google Cloud 控制台的「Managed Microsoft AD」頁面。
前往代管的 Microsoft AD - 在「Domains」(網域) 頁面中,從執行個體清單選取要停用憑證的網域。
- 在「網域詳細資料」頁面的「LDAPS」部分,按一下「停用」。
gcloud
執行下列 gcloud CLI 指令:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
--clear-ldaps-certificate
將 DOMAIN_NAME 替換為 Managed Microsoft AD 網域的完整資源名稱。完整資源名稱格式:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME。
這項作業最多需要 20 分鐘才能完成。如要重新啟用 LDAPS,請重新上傳憑證。