使用 启用服务器端 LDAPS AWS Managed Microsoft AD - AWS Directory Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 启用服务器端 LDAPS AWS Managed Microsoft AD

服务器端 LDAPS 支持对商业或自行开发的 LDAP 感知应用程序和您的 AWS Managed Microsoft AD 目录之间的 LDAP 通信进行加密。这有助于使用安全套接字层 (SSL) 加密协议来提高整个网络的安全性并满足合规性要求。

启用服务器端 LDAPS

有关如何设置和配置服务器端 LDAPS 和证书颁发机构 (CA) 服务器的详细说明,请参阅 AWS 安全博客中的如何为您的 AWS 托管 Microsoft AD 目录启用服务器端 LDAPS。

您必须从用来管理 Amazon EC2 域控制器的 AWS Managed Microsoft AD 实例执行大多数设置。以下步骤指导您完成在 AWS 云中为您的域启用 LDAPS 的过程。

如果要使用自动化来设置 PKI 基础设施,您可以使用 AWS 指南QuickStart上的 Microsoft 公有密钥基础设施。具体来说,您需要按照指南中的说明加载将 Microsoft PKI 部署到 AWS 上的现有 VPC 中的模板。加载模板后,请务必在转到 Active Directory Domain Services TypeAWSManaged (Active Directory 域服务类型) 选项时选择 。如果您使用了 QuickStart 指南,则可以直接跳转到 步骤 3:创建证书模板

步骤 1:委派可以启用 LDAPS 的人员

要启用服务器端 LDAPS,您必须是 AWS 目录中的管理员或 AWS Managed Microsoft AD 委托企业证书颁发机构管理员组的成员。或者,您可以是默认管理用户(管理员账户)。如果您愿意,您可以拥有一个管理员账户设置 LDAPS 之外的用户。在此情况下,将该用户添加到 AWS 目录中的管理员或 AWS Managed Microsoft AD 委托企业证书颁发机构管理员组。

步骤 2:设置证书颁发机构

您必须先创建一个证书,然后才能启用服务器端 LDAPS。此证书必须由已加入您的AWS Managed Microsoft AD域的 Microsoft 企业 CA 服务器颁发。在创建后,该证书必须安装到该域中您的每个域控制器上。此证书使域控制器上的 LDAP 服务能够侦听并自动接受来自 LDAP 客户端的 SSL 连接。

注意

带 AWS Managed Microsoft AD 的服务器端 LDAPS 不支持由独立 CA 颁发的证书。此外,它也不支持由第三方证书颁发机构颁发的证书。

根据您的业务需求,您有以下选择来设置或连接到您域中的 CA:

  • 创建从属 Microsoft Enterprise CA – (推荐)使用此选项,您可以在 AWS 云中部署从属 Microsoft 企业 CA 服务器。该服务器可以使用 Amazon EC2,这样便能使用您现有的根 Microsoft CA。有关如何设置从属 Microsoft 企业 CA 的更多信息,请参阅如何为 AWS 托管的 Microsoft AD 目录启用服务器端 LDAPS 中的步骤 4:将 Microsoft Enterprise CA 添加到 AWS Microsoft AD 目录

  • 创建根 Microsoft 企业 CA – 使用此选项,您可以在使用 AWS 的 Amazon EC2 云中创建根 Microsoft 企业 CA,并将它加入您的 AWS Managed Microsoft AD 域。此根 CA 可以向您的域控制器颁发证书。有关设置新的根 CA 的更多信息,请参阅如何为 AWS 托管的 Microsoft AD 目录启用服务器端 LDAPS 中的步骤 3:安装和配置脱机 CA。

有关如何将您的 EC2 实例加入域的更多信息,请参阅将 EC2 实例加入 AWS Managed Microsoft AD 目录.

步骤 3:创建证书模板

设置企业 CA 后,即可配置 Kerberos 身份验证证书模板。

创建证书模板

  1. 启动 Microsoft Windows Server Manager。选择 Tools (工具) > Certification Authority (证书颁发机构)。

  2. Certificate Authority (证书颁发机构) 窗口中,展开左侧窗格中的 Certificate Authority (证书颁发机构) 树。右键单击 Certificate Templates (证书模板),然后选择 Manage (管理)。

  3. Certificate Templates Console (证书模板控制台) 窗口中,右键单击 Kerberos Authentication (Kerberos 身份验证),然后选择 Duplicate Template (复制模板)。

  4. 此时将弹出 Properties of New Template (新模板的属性) 窗口。

  5. Properties of New Template 窗口中,转到 Compatibility 选项卡,然后执行以下操作:

    1. 证书颁发机构更改为与您的 CA 匹配的操作系统。

    2. 如果显示 Resulting changes (生成的更改) 窗口,请选择 OK (确定)。

    3. 认证收件人更改为 Windows 8.1/Windows Server 2012 R2

      注意

      AWS Managed Microsoft AD 由 Windows Server 2012 R2 提供支持。

    4. 如果显示 Resulting (结果) 更改窗口,请选择 OK (确定)。

  6. 单击 General (常规) 选项卡,然后将 Template display name (模板显示名称) 更改为 LDAPOverSSL 或您希望使用的任何其他名称。

  7. 单击 Security 选项卡,然后在 Group or user names 部分中选择 Domain Controllers。在 Permissions for Domain Controllers (域控制器的权限) 部分中,确认已选中 Read (读取)、 Enroll (注册) 和 Autoenroll (自动注册) 的 Allow (允许) 复选框。

  8. 选择 OK (确定) 以创建 LDAPOverSSL (或您上面指定的名称)证书模板。关闭 Certificate Templates Console (证书模板控制台) 窗口。

  9. Certificate Authority 窗口中,右键单击 Certificate Templates,然后选择 New > Certificate Template to Issue。

  10. Enable Certificate Templates (启用证书模板) 窗口中,选择 LDAPOverSSL (或您上面指定的名称),然后选择 OK (确定)。

步骤 4:添加安全组规则

在最后一步中,您必须打开 Amazon EC2 控制台并添加安全组规则。这些规则将允许您的域控制器连接到企业 CA 以请求证书。为此,请添加入站规则,以便您的企业 CA 可以接受来自您的域控制器的传入流量。然后,添加出站规则以允许从您的域控制器到企业 CA 的流量。

一旦配置了两个规则,您的域控制器会自动从您的企业 CA 请求证书,并为您的目录启用 LDAPS。您的域控制器上的 LDAP 服务现已准备好接受 LDAPS 连接。

配置安全组规则

  1. 导航到您的 Amazon EC2 控制台 (https://console.aws.amazon.com/ec2然后使用管理员凭证登录。

  2. 在左侧窗格中,选择 Network & Security 下方的 Security Groups.

  3. 在主窗格中,为您的 CA 选择 AWS 安全组。

  4. 选择 Inbound 选项卡,然后选择 Edit.

  5. Edit inbound rules 对话框中,执行以下操作:

    • 选择 Add Rule.

    • Type 选择 All traffic,并为 Source 选择 Custom.

    • 在 AWSSource 旁边的框中输入目录的安全组 (例如sg-123456789。

    • 选择 Save.

  6. 现在,选择您的 AWS 目录的 AWS Managed Microsoft AD 安全组。选择 Outbound 选项卡,然后选择 Edit.

  7. Edit outbound rules (编辑出站规则) 对话框中,执行以下操作:

    • 选择 Add Rule.

    • Type 选择 All traffic,并为 Destination 选择 Custom.

    • 在 AWSDestination 旁边的框中键入您的 CA 的 . 安全组。

    • 选择 Save.

您可以使用 LDP 工具测试与 AWS Managed Microsoft AD 目录的 LDAPS 连接。LDP 工具随 Active Directory 管理工具一起提供。有关更多信息,请参阅安装 Active Directory 管理工具.

注意

在测试 LDAPS 连接之前,您必须等待最长 30 分钟时间,以便从属 CA 向您的域控制器颁发证书。

有关服务器端 LDAPS 的其他详细信息以及要查看如何设置它的示例使用案例,请参阅 AWS 安全博客上的如何为AWS Managed Microsoft AD目录启用服务器端 LDAPS。