使用 AWS Managed Microsoft AD 启用客户端 LDAPS - AWS Directory Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS Managed Microsoft AD 启用客户端 LDAPS

AWS Managed Microsoft AD 中的客户端 LDAPS 支持对 Microsoft Active Directory (AD) 和 AWS 应用程序之间的通信进行加密。此类应用程序的示例包括 Amazon WorkSpaces、AWS SSO、Amazon QuickSight 和 Amazon Chime. 此加密可帮助您更好地保护您组织的身份数据并满足您的安全要求。

Prerequisites

启用客户端 LDAPS 之前,您需要满足以下要求。

在 Active Directory 中部署服务器证书

要启用客户端 LDAPS,您需要为 Active Directory 中的每个域控制器获取并安装服务器证书。LDAP 服务将使用这些证书来侦听并自动接受来自 LDAP 客户端的 SSL 连接。您可以使用由内部 Active Directory Certificate Services (ADCS) 部署颁发的或从商业颁发机构处购买的 SSL 证书。有关 Active Directory 服务器证书要求的更多信息,请参阅 Microsoft 网站上的 LDAP over SSL (LDAPS) 证书

CA 证书要求

客户端 LDAPS 操作需要证书颁发机构 (CA) 证书,它表示服务器证书的颁发者。CA 证书将与由 Active Directory 域控制器提供的服务器证书匹配来加密 LDAP 通信。请注意以下 CA 证书要求:

  • 要注册一个证书,该证书必须在 90 天以后才到期。

  • 证书必须采用隐私增强邮件 (PEM) 格式。如果要从 Active Directory 内部导出 CA 证书,请选择 base64 编码的 X.509 (.CER) 作为导出文件格式。

  • 每个 AWS Managed Microsoft AD 目录最多可存储五 (5) 个 CA 证书。

  • 使用 RSSAS-PSS 签名算法的证书不受支持。

  • 必须注册链接到每个受信任域中的每个服务器证书的 CA 证书。

联网要求

AWS 应用程序 LDAP 流量将仅在 TCP 端口 636 上运行,而不会回退到 LDAP 端口 389。但是,支持复制、信任等的 Windows LDAP 通信将继续使用带有 Windows 本机安全性的 LDAP 端口 389。配置 AWS 安全组和网络防火墙,以允许 AWS Managed Microsoft AD(出站)和自行管理的 Active Directory(入站)中的端口 636 上的 TCP 通信。在 AWS Managed Microsoft AD 和自行管理的 Active Directory 之间保留开放的 LDAP 端口 389。

启用客户端 LDAPS

要启用客户端 LDAPS,您需要将证书颁发机构 (CA) 证书导入 AWS Managed Microsoft AD,然后在您的目录上启用 LDAPS。启用后,AWS 应用程序与您自行管理的 Active Directory 之间的所有 LDAP 通信将通过安全套接字层 (SSL) 通道加密进行传输。

您可以使用两种不同的方法为您的目录启用客户端 LDAPS。您可以使用 AWS 管理控制台方法或 AWS CLI 方法。

注意

客户端 LDAPS 是 AWS Managed Microsoft AD 的区域性功能。如果您正在使用 多区域复制,则必须在每个区域中单独应用以下过程。有关更多信息,请参阅全球与区域 功能

步骤 1:在 AWS Directory Service 中注册证书

使用下列方法之一在 中注册证书。AWS Directory Service.

方法 1:在 AWS Directory Service ( 中注册您的证书 (AWS 管理控制台)

  1. AWS Directory Service console 导航窗格中,选择 Directories (目录).

  2. 选择目录的目录 ID 链接。

  3. Directory details (目录详细信息) 页面上,执行下列操作之一:

    • 如果您有多个区域显示在 Multi-Region replication (多区域复制) 下,请选择要注册证书的区域,然后选择 Networking & security (联网和安全性) 选项卡。有关更多信息,请参阅 主要区域与附加区域.

    • 如果您没有 Multi-Region replication (多区域复制) 下显示的任何区域,请选择 Networking & security (联网和安全性) 选项卡。

  4. Client-side LDAPS (客户端 LDAPS) 部分中,选择 Actions (操作) 菜单,然后选择 Register certificate (注册证书).

  5. Register a CA certificate (注册 CA 证书) 对话框中,选择 Browse (浏览),然后选择证书并选择 Open (打开).

  6. 选择 Register certificate (注册证书).

方法 2:在 AWS Directory Service ( 中注册您的证书 (AWS CLI)

  • 运行以下命令。对于证书数据,请指向 CA 证书文件的位置。响应中将会提供证书 ID。

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path

步骤 2:检查注册状态

要查看证书注册的状态或已注册证书的列表,请使用以下任一方法。

方法 1:在 AWS Directory Service ( 中检查证书注册状态 (AWS 管理控制台)

  1. 转到 Directory details (目录详细信息) 页面上的 Client-side LDAPS (客户端 LDAPS) 部分。

  2. 查看 Registration status (注册状态) 列下显示的当前证书注册状态。当注册状态值更改为 Registered (已注册) 时,您的证书已成功注册。

方法 2:在 AWS Directory Service ( 中检查证书注册状态 (AWS CLI)

  • 运行以下命令。如果状态值返回 Registered,则表示您的证书已成功注册。

    aws ds list-certificates --directory-id your_directory_id

步骤 3:启用客户端 LDAPS

使用以下方法之一在 AWS Directory Service 中启用客户端 LDAPS。

注意

您必须已成功注册至少一个证书,然后才能启用客户端 LDAPS。

方法 1:在 AWS Directory Service ( 中启用客户端 LDAPS (AWS 管理控制台)

  1. 转到 Directory details (目录详细信息) 页面上的 Client-side LDAPS (客户端 LDAPS) 部分。

  2. 选择启用. 如果此选项不可用,请验证有效证书是否已成功注册,然后重试。

  3. Enable client-side LDAPS (启用客户端 LDAPS) 对话框中,选择 Enable (启用).

方法 2:在 AWS Directory Service ( 中启用客户端 LDAPS (AWS CLI)

  • 运行以下命令。

    aws ds enable-ldaps --directory-id your_directory_id --type Client

步骤 4:检查 LDAPS 状态

使用以下方法之一检查 AWS Directory Service 中的 LDAPS 状态。

方法 1:在 AWS Directory Service ( 中检查 LDAPS 状态 (AWS 管理控制台)

  1. 转到 Directory details (目录详细信息) 页面上的 Client-side LDAPS (客户端 LDAPS) 部分。

  2. 如果状态值显示为 Enabled (已启用),则 LDAPS 已成功配置。

方法 2:在 AWS Directory Service ( 中检查 LDAPS 状态 (AWS CLI)

  • 运行以下命令。如果状态值返回 Enabled,则 LDAPS 已成功配置。

    aws ds describe-ldaps-settings –-directory-id your_directory_id

管理客户端 LDAPS

使用这些命令可管理 LDAPS 配置。

您可以使用两种不同的方法来管理客户端 LDAPS 设置。您可以使用 AWS 管理控制台方法或 AWS CLI 方法。

查看证书详细信息

使用下列方法之一查看证书设置为何时过期。

方法 1:在 AWS Directory Service ( 中查看证书详细信息 (AWS 管理控制台)

  1. AWS Directory Service console 导航窗格中,选择 Directories (目录).

  2. 选择目录的目录 ID 链接。

  3. Directory details (目录详细信息) 页面上,执行下列操作之一:

    • 如果您有多个区域显示在 Multi-Region replication (多区域复制) 下,请选择要查看证书的区域,然后选择 Networking & security (联网和安全性) 选项卡。有关更多信息,请参阅 主要区域与附加区域.

    • 如果您没有 Multi-Region replication (多区域复制) 下显示的任何区域,请选择 Networking & security (联网和安全性) 选项卡。

  4. Client-side LDAPS (客户端 LDAPS) 部分的 CA certificates (CA 证书) 下,将显示有关证书的信息。

方法 2:在 AWS Directory Service ( 中查看证书详细信息 (AWS CLI)

  • 运行以下命令。对于证书 ID,请使用由 register-certificatelist-certificates. 返回的标识符。

    aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id

取消注册证书

使用下列方法之一取消注册证书。

注意

如果只注册了一个证书,则必须先禁用 LDAPS,然后才能取消注册证书。

方法 1:在 AWS Directory Service ( 中取消注册证书 (AWS 管理控制台)

  1. AWS Directory Service console 导航窗格中,选择 Directories (目录).

  2. 选择目录的目录 ID 链接。

  3. Directory details (目录详细信息) 页面上,执行下列操作之一:

    • 如果您有多个区域显示在 Multi-Region replication (多区域复制) 下,请选择您要取消注册证书的区域,然后选择 Networking & security (联网和安全性) 选项卡。有关更多信息,请参阅 主要区域与附加区域.

    • 如果您没有 Multi-Region replication (多区域复制) 下显示的任何区域,请选择 Networking & security (联网和安全性) 选项卡。

  4. Client-side LDAPS (客户端 LDAPS) 部分中,选择 Actions (操作),然后选择 Deregister certificate (取消注册证书).

  5. Deregister a CA certificate (取消注册 CA 证书) 对话框中,选择 Deregister (取消注册).

方法 2:在 AWS Directory Service ( 中取消注册证书 (AWS CLI)

  • 运行以下命令。对于证书 ID,请使用由 register-certificatelist-certificates. 返回的标识符。

    aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id

禁用客户端 LDAPS

使用下列方法之一禁用客户端 LDAPS。

方法 1:在 AWS Directory Service ( 中禁用客户端 LDAPS (AWS 管理控制台)

  1. AWS Directory Service console 导航窗格中,选择 Directories (目录).

  2. 选择目录的目录 ID 链接。

  3. Directory details (目录详细信息) 页面上,执行下列操作之一:

    • 如果您有多个区域显示在 Multi-Region replication (多区域复制) 下,请选择要在其中禁用客户端 LDAPS 的区域,然后选择 Networking & security (联网和安全性) 选项卡。有关更多信息,请参阅 主要区域与附加区域.

    • 如果您没有 Multi-Region replication (多区域复制) 下显示的任何区域,请选择 Networking & security (联网和安全性) 选项卡。

  4. Client-side LDAPS (客户端 LDAPS) 部分中,选择 Disable (禁用).

  5. Disable client-side LDAPS (禁用客户端 LDAPS) 对话框中,选择 Disable (禁用).

方法 2:在 AWS Directory Service ( 中禁用客户端 LDAPS (AWS CLI)

  • 运行以下命令。

    aws ds disable-ldaps --directory-id your_directory_id --type Client