啟用 LDAPS

本頁說明如何為 Microsoft Active Directory 的代管服務 (Managed Microsoft AD) 啟用 LDAP over SSL/TLS (LDAPS)，確保 LDAP 流量的機密性和安全性。根據預設，Managed Microsoft AD 與用戶端應用程式之間的通訊不會加密，以進行簡單的 LDAP 繫結。

如要啟用 LDAPS，您必須擁有憑證。本頁面也說明必要憑證的規格，以及如何驗證和監控憑證。

要求取得憑證

您可以向 Public Certificate Authority (CA)、企業 CA、Google Cloud 憑證授權單位服務要求憑證，也可以使用自行簽署的憑證。如果您使用自行簽署的憑證，請參閱下列各節中 PowerShell 指令的 Microsoft 說明文件。

您可以使用 Windows、OpenSSL 或 MakeCert 的 New-SelfSignedCertificate 指令建立自行簽署的憑證。

憑證規定

憑證必須符合下列規定：

• 下表列出建立自行簽署憑證的規定，以及 New-SelfSignedCertificate 指令中使用的相關參數。請注意，參數或欄位名稱可能因您建立憑證的方式而異。

• 簽發鏈結：必須上傳整個憑證鏈結，且必須有效。鏈結必須是線性，不得有多個鏈結。

• 憑證格式：格式必須符合公開金鑰密碼編譯標準 (PKCS) #12。你必須使用 PFX 檔案。

向 Public CA 或企業 CA 提出要求

如要向 Public CA 或企業 CA 要求憑證，請按照這些步驟操作。

在產生要求的同一部 VM 上接受憑證。

匯出 PKCS #12 格式的憑證

如要以 PKCS #12 格式匯出憑證 (PFX 檔案)，請完成下列步驟：

1. 在 Windows 中，前往 Microsoft 管理控制台 (MMC) 中的憑證。

2. 展開「本機電腦憑證」，然後依序前往「個人」>「憑證」。

3. 在您建立的憑證上按一下滑鼠右鍵，然後依序選取「所有工作」>「匯出」，啟用 LDAPS。

4. 在隨即顯示的「Certificate Export Wizard」(憑證匯出精靈) 對話方塊中，按一下「Next」(下一步)。

5. 在「匯出私密金鑰」頁面中，選取「是」即可匯出私密金鑰。

6. 在「匯出檔案格式」頁面，選取「個人資訊交換 - PKCS #12 (.PFX)」和「盡可能在認證路徑中加入所有憑證」核取方塊。按一下「Next」(下一步)。

7. 在「安全性」頁面中，選取「密碼」核取方塊，然後輸入高強度密碼來保護憑證。按一下「繼續」，在 Managed Microsoft AD 網域上設定 LDAPS 時，必須使用這個密碼。

8. 在「要匯出的檔案」頁面中，輸入要匯出 PFX 檔案的目的地名稱和路徑。點選「下一步」。

9. 按一下「完成」。

如要以 PKCS #12 格式匯出內含私密金鑰的自行簽署憑證，請使用 Export-PfxCertificate 指令，如要以 PEM 檔案匯出自行簽署憑證，請使用 Export-Certificate 指令。

將簽發者鏈結發布至用戶端電腦

如要讓 LDAPS 正常運作，所有用戶端電腦都必須信任 LDAPS 憑證的簽發者。如果是知名的 Public CA，用戶端電腦可能已信任核發機構鏈。如果系統不信任該鏈結，請完成下列步驟來匯出簽發者鏈結：

1. 在 Windows 中，前往 Microsoft 管理控制台 (MMC) 中的憑證。

2. 展開「本機電腦憑證」，然後依序前往「個人」>「憑證」。按兩下 LDAPS 憑證。

3. 在「憑證」視窗中，按一下「憑證路徑」分頁標籤。

4. 在「認證路徑」分頁中，選取路徑中的根憑證。

5. 按一下「查看憑證」。

6. 按一下「詳細資料」分頁標籤，然後點選「複製到檔案...」

7. 在隨即顯示的「Certificate Export Wizard」(憑證匯出精靈) 對話方塊中，選取「Base-64 encoded X.509」(Base-64 編碼的 X.509)，然後按一下「Next」(下一步)。

8. 選取憑證鏈的檔案名稱和位置，然後按一下「完成」。

9. 如要將憑證複製到建立 LDAPS 連線的用戶端電腦，請使用「憑證匯入精靈」對話方塊，將憑證匯入「本機」存放區。或者，您也可以使用 Windows 的群組原則，將簽發機構的憑證鏈發布至用戶端電腦。

如要將自行簽署的憑證匯入本機的信任根存放區，請使用 Import-Certificate 指令。

在 Managed Microsoft AD 網域上啟用 LDAPS

在 Managed Microsoft AD 網域上啟用 LDAPS 前，請先完成下列事項：

1. 請確認您具備下列任一 IAM 角色：

   • Google Cloud Managed Identities 管理員 (roles/managedidentities.admin)
   • Google Cloud Managed Identities 網域管理員 (roles/managedidentities.domainAdmin)

   如要進一步瞭解 Managed Microsoft AD IAM 角色，請參閱「存取控管」。

如要在代管的 Microsoft AD 網域上啟用 LDAPS，請完成下列步驟：

gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

這項作業最多需要 20 分鐘才能完成。如要更新憑證，請使用更新後的 PFX 檔案重複上述步驟。

驗證 LDAPS

您可以執行 LDAPS 繫結，確認 LDAPS 是否已啟用。這個程序會使用 LDP.exe，這是您將 VM 加入網域時安裝的 RSAT 工具之一。

在已加入網域的 Google Cloud Windows VM 上，於 PowerShell 中完成下列步驟：

1. 在 PowerShell 中啟動 LDP.exe，然後依序前往「連線」>「連線」。

2. 在「Connect」(連線) 對話方塊中，完成下列步驟：

   1. 在「伺服器」欄位中輸入網域名稱。
   2. 在「Port」(通訊埠) 欄位中輸入 636。
   3. 勾選「SSL」SSL核取方塊。
   4. 按一下 [確定]。

   如果已正確啟用 LDAPS，連線就會成功。

監控憑證

您可以在 Cloud Monitoring 中查看憑證鏈的存留時間 (TTL)。cert_ttl 指標會顯示憑證鏈中到期日最早的憑證，剩餘的有效天數。

sum by (fqdn) (
  avg_over_time({
    "__name__"="managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl",
    "monitored_resource"="microsoft_ad_domain",
  }[${__interval}])
)

停用 LDAPS

如要停用 LDAPS，請完成下列步驟：

gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

這項作業最多需要 20 分鐘才能完成。如要重新啟用 LDAPS，請重新上傳憑證。

後續步驟

• 自動更新憑證的最佳做法