使用启用服务器端 LDAPSAmazon托管的 Microsoft AD - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用启用服务器端 LDAPSAmazon托管的 Microsoft AD

服务器端 LDAPS 支持加密商业或自行开发的 LDAP 感知应用程序与您的 LDAP 通信Amazon管理 Microsoft AD 目录。这有助于使用安全套接字层 (SSL) 加密协议来提高整个网络的安全性并满足合规性要求。

启用服务器端 LDAPS

有关如何设置和配置服务器端 LDAPS 和证书颁发机构 (CA) 服务器的详细说明,请参阅如何为您的启用服务器端 LDAPSAmazon托管的 Microsoft AD 目录在Amazon安全博客。

您必须从用于管理您的 Amazon EC2 实例执行大多数设置。Amazon托管的 Microsoft AD 域控制器。以下步骤指导您完成在 Amazon 云中为您的域启用 LDAPS 的过程。

如果需要使用自动化设置 PKI 基础设施,可以使用启用 Microsoft 公有密钥基础设施AmazonQuickStart 指南. 具体而言,您需要按照指南中的说明加载模板在 Amazon 上将 Microsoft PKI 部署到现有 VPCAmazon. 加载模板后,一定要选择AWSManaged当你到达Active Directory 域服务类型选项。如果你使用了 QuickStart 指南,你可以直接跳转到第 3 步:创建证书模板.

第 1 步:谁可以启用 LDAPS

要启用服务器端 LDAPS,您必须是管理员或Amazon您的企业证书颁发机构委托管理员组Amazon管理 Microsoft AD 目录。或者,您可以是默认管理用户(管理员账户)。如果您愿意,您可以拥有一个管理员账户设置 LDAPS 之外的用户。在这种情况下,将该用户添加到管理员或Amazon您的企业证书颁发机构委托管理员组Amazon管理 Microsoft AD 目录。

第 2 步:设置你的证书颁发机构

您必须先创建一个证书,然后才能启用服务器端 LDAPS。此证书必须由已加入您的 Microsoft 企业 CA 服务器颁发。Amazon托管的 Microsoft AD 域。在创建后,该证书必须安装到该域中您的每个域控制器上。此证书使域控制器上的 LDAP 服务能够侦听并自动接受来自 LDAP 客户端的 SSL 连接。

注意

使用服务器端 LDAPSAmazon托管的 Microsoft AD 不支持由独立 CA 颁发的证书。此外,它也不支持由第三方证书颁发机构颁发的证书。

根据您的业务需求,您有以下选择来设置或连接到您域中的 CA:

有关如何将您的 EC2 实例加入域的更多信息,请参阅将 EC2 实例加入Amazon托管的 Microsoft AD 目录

第 3 步:创建证书模板

设置企业 CA 后,即可配置 Kerberos 身份验证证书模板。

创建证书模板

  1. 启动Microsoft Windows Server Manager. Select工具 > 证书颁发机构.

  2. 证书颁发机构窗口中,展开证书颁发机构在左侧窗格中显示树。右键单证书模板,然后选择Manage.

  3. 控制台证书模板窗口,右键单击Kerberos 身份验证然后选择复制模板.

  4. 这些区域有:新模板的属性窗口将弹出。

  5. 新模板的属性在窗口中,转至兼容性选项卡,然后执行以下操作:

    1. 变更颁发机构转到与您的 CA 匹配的操作系统。

    2. 如果产生的更改弹出窗口,选择确定.

    3. 变更认证收件人Windows 8.1 /Windows Server 2012 R2.

      注意

      Amazon托管的 Microsoft AD 由 Windows Server 2012 R2 提供支持。

    4. 如果产生的更改窗口弹出,选择确定.

  6. 单击普通的选项卡然后更改模板显示名称ldapOverSSL或者你喜欢的任何其他名字。

  7. 单击安全选项卡,然后选择域控制器中的组或用户名部分。在域控制器的权限部分中,验证Allow复选框Read注册, 和自动注册已检查。

  8. 选择确定创建ldapOverSSL(或您在上面指定的名称)证书模板。关闭控制台证书模板窗口。

  9. 证书颁发机构窗口,右键单击证书模板,然后选择新建 > 要颁发的证书模板.

  10. 启用证书模板窗口中,选择ldapOverSSL(或者你在上面指定的名称),然后选择确定.

第 4 步:添加安全组规则

在最后一步中,您必须打开 Amazon EC2 控制台并添加安全组规则。这些规则将允许您的域控制器连接到企业 CA 以请求证书。为此,请添加入站规则,以便您的企业 CA 可以接受来自您的域控制器的传入流量。然后,添加出站规则以允许从您的域控制器到企业 CA 的流量。

一旦配置了两个规则,您的域控制器会自动从您的企业 CA 请求证书,并为您的目录启用 LDAPS。您的域控制器上的 LDAP 服务现已准备好接受 LDAPS 连接。

配置安全组规则

  1. 在以下网址导航至 Amazon EC2 控制台:https://console.aws.amazon.com/ec2然后使用管理员凭据登录。

  2. 在左侧窗格中,选择 Network & Security 下方的 Security Groups

  3. 在主窗格中,为您的 CA 选择 Amazon 安全组。

  4. 选择 Inbound 选项卡,然后选择 Edit

  5. Edit inbound rules 对话框中,执行以下操作:

    • 选择 Add Rule(添加规则)。

    • Type 选择 All traffic,并为 Source 选择 Custom

    • 输入你的目录Amazon旁边的框中的安全组(例如 sg-123456789).

    • 选择保存

  6. 现在选择Amazon您的安全组Amazon管理 Microsoft AD 目录。选择 Outbound 选项卡,然后选择 Edit

  7. Edit outbound rules 对话框中,执行以下操作:

    • 选择 Add Rule(添加规则)。

    • Type 选择 All traffic,并为 Destination 选择 Custom

    • 在 AmazonDestination 旁边的框中键入您的 CA 的 安全组。

    • 选择保存

您可以测试与Amazon使用 LDP 工具托管 Microsoft AD 目录。LDP 工具随 Active Directory 管理工具一起提供。有关更多信息,请参阅 安装 Active Directory 管理工具

注意

在测试 LDAPS 连接之前,您必须等待最长 30 分钟时间,以便从属 CA 向您的域控制器颁发证书。

有关服务器端 LDAPS 的详细信息以及若要查看如何设置它的示例使用案例,请参阅如何为您的启用服务器端 LDAPSAmazon托管的 Microsoft AD 目录在Amazon安全博客。