本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
先决条件
启用客户端 LDAPS 之前,您需要满足以下要求。
在 Active Directory 中部署服务器证书
要启用客户端 LDAPS,您需要为 Active Directory 中的每个域控制器获取并安装服务器证书。LDAP 服务将使用这些证书来侦听并自动接受来自 LDAP 客户端的 SSL 连接。您可以使用由内部 Active Directory Certificate Services (ADCS) 部署颁发的或从商业颁发机构处购买的 SSL 证书。有关 Active Directory 服务器证书要求的更多信息,请参阅 Microsoft 网站上的 LDAP over SSL (LDAPS) 证书
CA 证书要求
客户端 LDAPS 操作需要证书颁发机构 (CA) 证书,它表示服务器证书的颁发者。CA 证书将与由 Active Directory 域控制器提供的服务器证书匹配来加密 LDAP 通信。请注意以下 CA 证书要求:
-
要注册一个证书,该证书必须在 90 天以后才到期。
-
证书必须采用隐私增强邮件 (PEM) 格式。如果要从 Active Directory 内部导出 CA 证书,请选择 base64 编码的 X.509 (.CER) 作为导出文件格式。
-
每个 AD Connector 目录最多可存储五(5)个 CA 证书。
-
使用 RSSAS-PSS 签名算法的证书不受支持。
联网要求
Amazon 应用程序 LDAP 流量将仅在 TCP 端口 636 上运行,而不会回退到 LDAP 端口 389。但是,支持复制、信任等的 Windows LDAP 通信将继续使用带有 Windows 本机安全性的 LDAP 端口 389。配置 Amazon 安全组和网络防火墙,以允许 AD Connector(出站)和自托管式 Active Directory(入站)中的端口 636 上的 TCP 通信。