本頁說明如何為 Managed Service for Microsoft Active Directory (Managed Microsoft AD) 啟用 LDAP over SSL/TLS (LDAPS),讓您的 LDAP 流量保有隱私權並確保安全性。根據預設,針對簡單的 LDAP 繫結,系統不會對 Managed Microsoft AD 和用戶端應用程式之間的通訊進行加密。
如要啟用 LDAPS,您必須具備憑證。本頁也說明必要憑證的規格,以及如何驗證和監控憑證。
要求取得憑證
您可以向公開憑證授權單位 (CA)、企業 CA、Google Cloud 憑證授權單位服務索取憑證,或使用自行簽署的憑證。如果您使用自行簽署的憑證,請按照下列各節中與 PowerShell 指令相關聯的 Microsoft 說明文件操作。
您可以在 Windows、OpenSSL 或 MakeCert 上使用 New-SelfSignedCertificate 指令建立自行簽署的憑證。
憑證規定
您的證書必須符合下列規定:
- 下表概略說明建立自行簽署憑證的必要條件,並列出
New-SelfSignedCertificate指令中使用的相關參數。請注意,參數或欄位名稱可能因建立憑證的方式而異。
| 參數 | 說明 |
|---|---|
Subject (主旨名稱) |
這個名稱必須是 Managed Microsoft AD 網域的萬用字元前置字串名稱,才能確保服務在升級或還原程序期間保持可用。這是因為網域控制器會使用隨機名稱,這些名稱會在升級或還原程序期間變更。舉例來說,如果網域名稱是 ad.mycompany.com,主旨名稱就必須是 CN=*.ad.mycompany.com
|
DnsName (DNS 名稱或主體替代名稱) |
其中必須只包含下列內容:"CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
|
KeySpec |
必須設為 1,表示可用於數位簽名和金鑰交換。 |
KeyLength |
最低金鑰大小取決於密碼編譯演算法。 |
KeyUsage |
必須包含「數位簽名」和「金鑰加密」。 |
TextExtension或EnhancedKeyUsageExtension |
必須具備 OID=1.3.6.1.5.5.7.3.1 才能進行伺服器驗證。 |
NotBefore |
憑證生效的時間。啟用 LDAPS 時,憑證必須有效。 |
NotAfter |
憑證失效的時間。啟用 LDAPS 時,憑證必須有效。 |
KeyAlgorithm (簽章演算法) |
系統不支援 SHA-1、MD2、MD5 等弱簽署演算法。 |
核發鏈結:必須上傳整個憑證鏈結,且該鏈結必須有效。鏈條必須是線性的,且不能有多個鏈條。
憑證格式:格式必須符合「公開金鑰密碼編譯標準」(PKCS) #12。您必須使用 PFX 檔案。
向公開 CA 或企業 CA 提出要求
如要向公開 CA 或企業 CA 要求憑證,請按照這些步驟操作。
在產生要求的 VM 上接受憑證。
以 PKCS #12 格式匯出憑證
如要以 PKCS #12 格式 (PFX 檔案) 匯出憑證,請完成下列步驟:
在 Windows 中,前往 Microsoft 管理控制台 (MMC) 中的憑證。
展開「Local Computer Certificates」,然後依序前往「Personal」>「Certificates」。
在您用來啟用 LDAPS 的憑證上按一下滑鼠右鍵,然後選取「All Tasks」>「Export」。
在隨即顯示的「Certificate Export Wizard」對話方塊中,按一下「Next」。
在「Export Private Key」頁面上,選取「Yes」即可匯出私密金鑰。
在「Export File Format」頁面上,選取「Personal Information Exchange - PKCS #12 (.PFX)」和「Include all certificates in the certification path if possible」核取方塊。按一下「Next」(下一步)。
在「安全性」頁面中,選取「密碼」核取方塊,然後輸入高強度密碼來保護憑證。按一下「下一步」。在受管理的 Microsoft AD 網域上設定 LDAPS 時,必須使用這個密碼。
在「File to Export」(要匯出的檔案)頁面中,輸入要匯出的 PFX 檔案的目的名稱和路徑。點選「下一步」。
按一下「完成」。
如要匯出私密金鑰為 PKCS #12 格式的自行簽署憑證,並以 PFX 檔案格式匯出,請使用 Export-PfxCertificate 指令;如要將自行簽署憑證匯出為 PEM 檔案,請使用 Export-Certificate 指令。
將發布者鏈結分發至用戶端電腦
為了讓 LDAPS 運作,所有用戶端電腦都必須信任 LDAPS 憑證的發出者。對於知名的公開 CA,用戶端電腦可能已信任核發者鏈結。如果鏈結不受信任,請完成下列步驟,匯出發布者鏈結:
在 Windows 中,前往 Microsoft 管理控制台 (MMC) 中的憑證。
展開「Local Computer Certificates」,然後依序前往「Personal」>「Certificates」。按兩下 LDAPS 憑證。
在「Certificate」視窗中,按一下「Certification Path」分頁。
在「認證路徑」分頁中,選取路徑中的根憑證。
按一下「查看憑證」。
按一下「Details」分頁標籤,然後點選「Copy to File...」。
在隨即顯示的「Certificate Export Wizard」對話方塊中,選取「Base-64 encoded X.509」,然後按一下「Next」。
選取憑證鏈結的檔案名稱和位置,然後按一下「Finish」。
如要將憑證複製到建立 LDAPS 連線的用戶端電腦,請使用「憑證匯入精靈」對話方塊,在「本機電腦」存放區中匯入憑證。或者,您也可以使用 Windows 中的群組政策,將核發機構的憑證鏈結發布到用戶端電腦。
如要將自行簽署的憑證匯入本機的受信任根存放區,請使用 Import-Certificate 指令。
在代管的 Microsoft AD 網域上啟用 LDAPS
在受管理的 Microsoft AD 網域中啟用 LDAPS 之前,請先執行下列操作:
請確認您具備下列任一 IAM 角色:
- Google Cloud Managed Identities 管理員 (
roles/managedidentities.admin) - Google Cloud Managed Identities 網域管理員 (
roles/managedidentities.domainAdmin)
如要進一步瞭解 Managed Microsoft AD 身分與存取權管理角色,請參閱「存取權控管」。
- Google Cloud Managed Identities 管理員 (
如要在 Managed Microsoft AD 網域中啟用 LDAPS,請完成下列步驟:
主控台
- 前往 Google Cloud 控制台的「Managed Microsoft AD」頁面。
前往代管的 Microsoft AD - 在「Domains」頁面中,從執行個體清單中選取要啟用 LDAPS 的網域。
- 在「網域詳細資料」頁面的「LDAPS」部分,按一下「設定 LDAPS」。
- 在「Configure LDAPS」窗格中,輸入 PFX 檔案的位置和您用來以 PKCS #12 格式匯出憑證的密碼,然後按一下「Configure LDAPS」。
gcloud
執行下列 gcloud CLI 指令:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
--certificate-pfx-file=PFX_FILENAME \
--certificate-password=PASSWORD
更改下列內容:
- DOMAIN_NAME:受管理 Microsoft AD 網域的完整資源名稱。完整資源名稱格式:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME。 - PFX_FILENAME:PKCS #12 格式的 PFX 檔案,用於指定用於設定 LDAPS 的憑證鏈結。
- PASSWORD:用於加密 PKCS #12 憑證的密碼。如果您未指定密碼,系統會在執行指令時提示您輸入密碼。
這項作業最多需要 20 分鐘才能完成。如要更新憑證,請使用更新後的 PFX 檔案重複執行這些步驟。
驗證 LDAPS
您可以執行 LDAPS 繫結,確認 LDAPS 是否已啟用。這個程序會使用 LDP.exe,這是您將 VM 加入網域時安裝的 RSAT 工具 之一。
在已加入網域的 Google Cloud Windows VM 上,在 PowerShell 中完成下列步驟:
在 PowerShell 中啟動
LDP.exe,然後前往「Connection」>「Connect」。在「Connect」對話方塊中,完成下列步驟:
- 在「伺服器」欄位中輸入網域名稱。
- 在「Port」欄位中輸入
636。 - 勾選「SSL」SSL核取方塊。
- 按一下 [確定]。
如果 LDAPS 已正確啟用,連線就會成功。
監控憑證
您可以在 Cloud Monitoring 中查看憑證鏈結的存留時間 (TTL)。cert_ttl 指標會顯示鏈結中到期日最早的憑證,其剩餘的有效天數。
主控台
如要使用 Metrics Explorer 查看受控資源的指標,請按照下列步驟操作:
-
前往 Google Cloud 控制台的 leaderboard「Metrics Explorer」頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果。
- 在 Google Cloud 控制台的工具列中,選取您的 Google Cloud 專案。 如要設定 App Hub,請選取 App Hub 主機專案或已啟用應用程式的資料夾管理專案。
- 在「指標」元素中,展開「選取指標」選單,在篩選列中輸入
LDAPS Certificate TTL,然後使用子選單選取特定資源類型和指標: 如要從顯示畫面中移除時間序列,請使用 Filter 元素。
如要合併時間序列,請使用「Aggregation」元素上的選單。舉例來說,如要根據區域顯示 VM 的 CPU 使用率,請將第一個選單設為「平均」,並將第二個選單設為「區域」。
當「Aggregation」元素的第一個選單設為「Unaggregated」時,系統會顯示所有時序資料。Aggregation 元素的預設設定取決於您選取的指標類型。
- 針對每天回報一個樣本的配額和其他指標,請執行下列操作:
- 在「顯示」窗格中,將「小工具類型」設為「堆疊長條圖」。
- 將時間範圍設為至少一週。
您也可以在「網域詳細資料」頁面的「LDAPS」部分中,按一下「監控」,前往「Metrics Explorer」。
您也可以使用查詢編輯器查看這些指標。
在「指標」分頁中,選取「查詢編輯器」。
在「Query Editor」(查詢編輯器) 的文字欄位中輸入以下 MQL 查詢,然後選取「Run Query」(執行查詢)。
fetch microsoft_ad_domain | metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl' | group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)] | every 1m | group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]
停用 LDAPS
如要停用 LDAPS,請完成下列步驟:
主控台
- 前往 Google Cloud 控制台的「Managed Microsoft AD」頁面。
前往代管的 Microsoft AD - 在「Domains」頁面中,從要停用憑證的執行個體清單中選取網域。
- 在「網域詳細資料」頁面的「LDAPS」部分,按一下「停用」。
gcloud
執行下列 gcloud CLI 指令:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
--clear-ldaps-certificate
將 DOMAIN_NAME 替換為您 Managed Microsoft AD 網域的完整資源名稱。完整資源名稱格式:projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME。
這項作業最多需要 20 分鐘才能完成。如要重新啟用 LDAPS,您必須重新上傳憑證。