本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用托管 Amazon Microsoft AD 启用服务器端 LDAPS
<a name="ms_ad_ldap_server_side"></a>

服务器端Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS)支持可加密您的商业或本土应用程序与托管 Amazon Microsoft LDAP AD 目录之间的LDAP通信。这有助于使用 Secure Sockets Layer (SSL) 加密协议来提高整个网络的安全性并满足合规性要求。

## 使用启用服务器端 LDAPS Amazon 私有证书颁发机构
<a name="enableserversideldaps_pca"></a>

有关如何使用设置和配置服务器端 LDAPS 和证书颁发机构 (CA) 服务器的详细说明 Amazon 私有 CA，请参阅。[为 Amazon 托管的 Microsoft AD 设置 AD Amazon 私有 CA 连接器](ms_ad_pca_connector.md)

## 使用 Microsoft CA 启用服务器端 LDAPS
<a name="enableserversideldaps_msca"></a>

有关如何设置和配置服务器端 LDAPS 和您的证书颁发机构 (CA) 服务器的详细说明，请参阅安全博客上的[如何为托管的 Amazon Microsoft AD 目录启用服务器端 LDAPS](https://www.amazonaws.cn/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)。 Amazon 

您必须从用来管理 Amazon Managed Microsoft AD 域控制器的 Amazon EC2 实例执行大多数设置。以下步骤指导您完成在 Amazon Web Services 云中为您的域启用 LDAPS 的过程。

如果您想使用自动化来设置PKI基础架构，可以使用 Gu [Amazon QuickStart ide 中的Microsoft公钥基础架构](https://www.amazonaws.cn/quickstart/architecture/microsoft-pki/)。具体而言，您需要按照指南中的说明加载模版，以便将 [MicrosoftPKI 部署到 Amazon上的现有 VPC 中](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps)。加载模板后，请务必在到达 **Active Directory 域服务**选项时选择 **`AWSManaged`**。如果您使用了该 QuickStart 指南，则可以直接跳至[步骤 3：创建证书模板](#createcustomcert)。

**Topics**
+ [步骤 1：委托谁可以启用 LDAPS](#grantpermsldaps)
+ [步骤 2：设置证书颁发机构](#setupca)
+ [步骤 3：创建证书模板](#createcustomcert)
+ [步骤 4：添加安全组规则](#addgrouprules)

### 步骤 1：委托谁可以启用 LDAPS
<a name="grantpermsldaps"></a>

要启用服务器端 LDAPS，您必须是托管 Amazon Microsoft AD 目录中的管理员或企业证书 Amazon 授权机构管理员组的成员。或者，您可以是默认管理用户（管理员账户）。如果您愿意，您可以拥有一个管理员账户设置 LDAPS 之外的用户。在这种情况下，请将该用户添加到 Amazon 托管 Microsoft AD 目录中的管理员或企业证书 Amazon 授权机构管理员组中。

### 步骤 2：设置证书颁发机构
<a name="setupca"></a>

您必须先创建一个证书，然后才能启用服务器端 LDAPS。此证书必须由已加入 Amazon Managed Microsoft AD 域的 Microsoft Enterprise CA 服务器颁发。在创建后，该证书必须安装到该域中您的每个域控制器上。此证书使域控制器上的 LDAP 服务能够侦听并自动接受来自 LDAP 客户端的 SSL 连接。

**注意**  
带有托管 Amazon Microsoft AD 的服务器端 LDAPS 不支持由独立 CA 颁发的证书。此外，它也不支持由第三方证书颁发机构颁发的证书。

根据您的业务需求，您有以下选择来设置或连接到您域中的 CA：
+ **创建从属**服务器 Microsoft Enterprise CA-（推荐）使用此选项，您可以在 Amazon 云中部署从属MicrosoftEnterprise CA服务器。该服务器可以使用 Amazon EC2，这样便能使用您现有的根 Microsoft CA。有关如何设置下属目录的更多信息 MicrosoftEnterprise CA，请参阅如何为托管 [Amazon Microsoft A MicrosoftEnterprise CA D AmazonMicrosoftAD 目录启用服务器端 LDAPS 中的步骤 4：向](https://www.amazonaws.cn/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)**目录中添加**。
+ **创建根 Microsoft Enterprise CA** — 使用此选项，您可以使用 Amazon EC2 在 Amazon 云MicrosoftEnterprise CA中创建根并将其加入您的 Amazon 托管 Microsoft AD 域。此根 CA 可以向您的域控制器颁发证书。有关设置新的根 CA 的更多信息，请参阅[如何为托管的 Amazon Microsoft AD 目录启用服务器端 LDAPS](https://www.amazonaws.cn/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) 中的**步骤 3：安装和配置离线 CA**。

有关如何将您的 EC2 实例加入域的更多信息，请参阅[将 Amazon EC2 实例加入您的 Amazon 托管微软 AD 的方法](ms_ad_join_instance.md)。

### 步骤 3：创建证书模板
<a name="createcustomcert"></a>

设置 Enterprise CA 后，即可配置 Kerberos 身份验证证书模板。

**创建证书模板**

1. 启动 **Microsoft Windows Server Manager**。依次选择**工具 > 证书颁发机构**。

1. 在**证书颁发机构**窗口中，展开左侧窗格中的**证书颁发机构**树。右键单击**证书模版**，然后选择**管理**。

1. 在**证书模版控制台**窗口中，右键单击**域控制器**，然后选择**重复模版**。

1. 系统将会弹出**新模板的属性**窗口。

1. 在**新模板的属性**窗口中，转到**兼容性**选项卡，然后执行以下操作：

   1. 将**证书颁发机构**更改为与 CA 匹配的 OS。

   1. 如果系统弹出**生成的更改**窗口，选择**确定**。

   1. 将**证书接收者**更改为 **Windows 10/Windows Server 2016**。
**注意**  
Amazon 托管 Microsoft AD 由提供支持Windows Server 2019。

   1. 如果系统弹出**生成的更改**窗口，选择**确定**。

1. 单击 “**常规**” 选项卡，将**模板显示名称更改为 LDAPOver** **SSL** 或您想要的任何其他名称。

1. 单击**安全**选项卡，然后选择**组或用户名称**部分中的**域控制器** 。在**域控制器的权限**部分，确认已选中**读取**、**注册**和**自动注册**的**允许**复选框。

1. 选择 “**确定”** 创建 **LDAPOverSSL**（或您在上面指定的名称）证书模板。关闭**证书模板控制台**窗口。

1. 在**证书颁发机构**窗口中，右键单击**证书模版**，然后依次选择**新建 > 要颁发的证书模版**。

1. 在 “**启用证书模板**” 窗口中，选择 **LDAPOverSSL**（或您在上面指定的名称），然后选择 “**确定”**。

### 步骤 4：添加安全组规则
<a name="addgrouprules"></a>

在最后一步中，您必须打开 Amazon EC2 控制台并添加安全组规则。这些规则将允许您的域控制器连接到 Enterprise CA 以请求证书。为此，请添加入站规则，以便您的 Enterprise CA 可以接受来自您的域控制器的传入流量。然后，添加出站规则以允许从您的域控制器到 Enterprise CA 的流量。

一旦配置了两个规则，您的域控制器会自动从您的 Enterprise CA 请求证书，并为您的目录启用 LDAPS。您的域控制器上的 LDAP 服务现已准备好接受 LDAPS 连接。

**配置安全组规则**

1. 在 [https://console.aws.amazon.com/ec2 上导航到您的 Amazon EC2](https://console.amazonaws.cn/ec2) 控制台，然后使用管理员凭证登录。

1. 在左侧窗格中，选择 **Network & Security** 下方的 **Security Groups**。

1. 在主窗格中，为您的 CA 选择 Amazon 安全组。

1. 选择 **Inbound ** 选项卡，然后选择 **Edit**。

1. 在 **Edit inbound rules** 对话框中，执行以下操作：
   + 选择**添加规则**。
   + 为 **Type** 选择 **All traffic**，并为 **Source** 选择 **Custom**。
   + 在 S **our** ce 旁边的框中输入目录 Amazon 的安全组（例如`sg-123456789`）。
   + 选择**保存**。

1. 现在选择你的 Microsoft AD Amazon 托管目录 Amazon 的安全组。选择 **Outbound** 选项卡，然后选择 **Edit**。

1. 在 **Edit outbound rules** 对话框中，执行以下操作：
   + 选择**添加规则**。
   + 为 **Type** 选择 **All traffic**，并为 **Destination** 选择 **Custom**。
   + 在 “**目标**” 旁边的框中输入 CA Amazon 的安全组。
   + 选择**保存**。

您可以使用该LDP工具测试 LDAPS 与 Amazon 托管 Microsoft AD 目录的连接。LDP 工具附带 Active Directory Administrative Tools。有关更多信息，请参阅 [为托管的 Microsoft AD 安装活动目录 Amazon 管理工具](ms_ad_install_ad_tools.md)。

**注意**  
在测试 LDAPS 连接之前，您必须等待最长 30 分钟时间，以便从属 CA 向域控制器颁发证书。

有关服务器端 LDAPS 的更多详细信息以及如何进行设置的示例用例，请参阅安全博客上的如何为[托管 Amazon Microsoft AD 目录启用服务器端 LDAPS](https://www.amazonaws.cn/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)。 Amazon