Prácticas recomendadas para automatizar la renovación de certificados

En este tema se describen las prácticas recomendadas para automatizar la renovación de certificados de LDAPS.

Información general

Si emites certificados con una validez más breve, te recomendamos que automatices la renovación de estos certificados.

Gestionar errores de la API

La automatización debe comprobar si hay errores tanto en la llamada inicial a la API de bloqueo como al sondear la operación de larga duración devuelta. La actualización solo se puede considerar correcta si la operación de larga duración se marca como completada sin errores.

Si UpdateLdapsSettings devuelve un error con el código INVALID_ARGUMENT, el mensaje de error puede explicar qué ocurre con el certificado subido. Este error se suele devolver durante la llamada de bloqueo inicial a la API. En estos casos, los reintentos no son eficaces y la automatización debe enviar una alerta.

Si la API devuelve cualquier otro código de error que se pueda volver a intentar (como UNAVAILABLE), la automatización debería volver a intentar la llamada con el tiempo de espera adecuado. Estos errores suelen devolverse al sondear la operación de larga duración que devuelve la llamada de bloqueo inicial a UpdateLdapsSettings.

Más información sobre UpdateLdapsSettings

Comprobar el estado de LDAPSSettings

Después de llamar a UpdateLdapsSettings, es recomendable comprobar que LDAPSSettings cumple las expectativas y está en buen estado (ACTIVE). Puedes llamar a GetLdapsSettings para comparar las huellas digitales de los certificados en el estado previsto con las huellas digitales de los certificados implementados. Puedes usar herramientas como OpenSSL para calcular las huellas digitales de tus nuevos certificados.

Ten en cuenta las diferencias de visualización entre el método que usa la automatización para calcular las huellas digitales y cómo las almacena Microsoft AD gestionado. Por ejemplo, Microsoft AD gestionado almacena una huella digital como una sola cadena hexadecimal sin delimitadores: 771B8FD90806E074A7AD49B1624D2761137557D2. OpenSSL devuelve lo siguiente para el mismo certificado: SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2.

Consulta más información sobre LDAPSSettings y GetLdapsSettings.

Crear una cadena de certificados PFX

Si tu automatización obtiene certificados en formato PEM o CRT, debes convertirlos a PFX e incluir toda la cadena de certificados.

Para convertir el archivo a PFX e incluir toda la cadena, siga estos pasos con shell y OpenSSL.

  1. Crea un solo archivo PEM que incluya todos los certificados intermedios, así como el certificado raíz.

    cat root-ca-cert.pem >> temp.pem
echo -e "\n" >> temp.pem
cat intermediate-ca-cert.pem >> temp.pem

  2. Compila el archivo PFX de salida. leaf.key es la clave privada.

    openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
    -certfile temp.pem -passout "EXPORT_PASSWORD"

  3. Muestra la información del archivo PFX. Debería mostrar toda la cadena de la raíz a la hoja y la clave privada.

    openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"