本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用托管 Amazon Microsoft AD 启用服务器端 LDAPS
服务器端Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS)支持可加密您的商业或本土应用程序与您的托管 Amazon Microsoft LDAP AD 目录之间的LDAP通信。这有助于提高网络安全性,并使用Secure Sockets Layer (SSL)加密协议满足合规性要求。
使用启用服务器端 LDAPS Amazon Private Certificate Authority
有关如何使用设置和配置服务器端 LDAPS 和证书颁发机构 (CA) 服务器的详细说明 Amazon Private CA,请参阅。为 Amazon 托管的 Microsoft AD 设置 AD Amazon Private CA 连接器
使用 CA 启用服务器端 LDAPS Microsoft
有关如何设置和配置服务器端 LDAPS 和您的证书颁发机构 (CA) 服务器的详细说明,请参阅安全博客上的如何为托管的 Amazon Microsoft AD 目录启用服务器端 LDAPS
您必须使用用于管理 Amazon 托管 Microsoft AD 域控制器的亚马逊 EC2 实例完成大部分设置。以下步骤将指导您在中为您的域启用 LDAPS。 Amazon Web Services 云
如果您想使用自动化来设置PKI基础架构,可以使用 Gu Amazon QuickStart ide 中的Microsoft公钥基础架构AWSManaged。如果您使用了该 QuickStart 指南,则可以直接跳至步骤 3:创建证书模板。
步骤 1:委托谁可以启用 LDAPS
要启用服务器端 LDAPS,您必须是托管 Amazon Microsoft AD 目录中的管理员或企业证书 Amazon 授权机构管理员组的成员。或者,您可以是默认管理用户(管理员账户)。如果您愿意,您可以拥有一个管理员账户设置 LDAPS 之外的用户。在这种情况下,请将该用户添加到 Amazon 托管 Microsoft AD 目录中的管理员或企业证书 Amazon 授权机构管理员组中。
步骤 2:设置证书颁发机构
您必须先创建一个证书,然后才能启用服务器端 LDAPS。此证书必须由加入你的 Microsoft AD Amazon 托管域的MicrosoftEnterprise CA服务器颁发。在创建后,该证书必须安装到该域中您的每个域控制器上。此证书允许域控制器上的LDAP服务侦听并自动接受来自LDAP客户端的SSL连接。
注意
带有托管 Amazon Microsoft AD 的服务器端 LDAPS 不支持由独立 CA 颁发的证书。此外,它也不支持由第三方证书颁发机构颁发的证书。
根据您的业务需求,您有以下选择来设置或连接到您域中的 CA:
-
创建从属服务器 Microsoft Enterprise CA-(推荐)使用此选项,您可以在 Amazon 云中部署从属MicrosoftEnterprise CA服务器。服务器可以使用 Amazon, EC2 这样它就可以与您现有的根 Microsoft CA 配合使用。有关如何设置下属目录的更多信息 MicrosoftEnterprise CA,请参阅如何为托管的 Amazon Microsoft AD AmazonMicrosoftAD 目录启用服务器端 LDAPS 中的步骤 4:向
目录中添加一个MicrosoftEnterprise CA。 -
创建根目录 Microsoft Enterprise CA — 使用此选项,您可以使用 Amazon Microsoft Enterprise CA 在 Amazon 云端创建根目录, EC2 然后将其加入您的 Amazon 托管 Microsoft AD 域。此根 CA 可以向您的域控制器颁发证书。有关设置新的根 CA 的更多信息,请参阅如何为托管的 Amazon Microsoft AD 目录启用服务器端 LDAPS
中的步骤 3:安装和配置离线 CA。
有关如何将您的 EC2 实例加入域的更多信息,请参阅将亚马逊 EC2 实例加入您的微软 Amazon 托管广告的方法。
步骤 3:创建证书模板
设置Enterprise CA完成后,您可以配置Kerberos身份验证证书模板。
创建证书模板
-
启动 Microsoft Windows Server Manager。依次选择工具 > 证书颁发机构。
-
在证书颁发机构窗口中,展开左侧窗格中的证书颁发机构树。右键单击证书模版,然后选择管理。
-
在证书模版控制台窗口中,右键单击域控制器,然后选择重复模版。
-
系统将会弹出新模板的属性窗口。
-
在新模板的属性窗口中,转到兼容性选项卡,然后执行以下操作:
-
将证书颁发机构更改为与您OS的 CA 匹配的。
-
如果系统弹出生成的更改窗口,选择确定。
-
将证书接收者更改为 Windows 10/Windows Server 2016。
注意
Amazon 托管 Microsoft AD 由提供支持Windows Server 2019。
-
如果系统弹出生成的更改窗口,选择确定。
-
-
单击 “常规” 选项卡,将模板显示名称更改为 LDAPOver SSL 或您想要的任何其他名称。
-
单击安全选项卡,然后选择组或用户名称部分中的域控制器 。在域控制器的权限部分,确认已选中读取、注册和自动注册的允许复选框。
-
选择 “确定” 创建 LDAPOverSSL(或您在上面指定的名称)证书模板。关闭证书模板控制台窗口。
-
在证书颁发机构窗口中,右键单击证书模版,然后依次选择新建 > 要颁发的证书模版。
-
在 “启用证书模板” 窗口中,选择 LDAPOverSSL(或您在上面指定的名称),然后选择 “确定”。
步骤 4:添加安全组规则
在最后一步中,您必须打开 Amazon EC2 控制台并添加安全组规则。这些规则允许您的域控制器连接到您的域控制器Enterprise CA以申请证书。为此,您需要添加入站规则,以便Enterprise CA可以接受来自域控制器的传入流量。然后,您可以添加出站规则,以允许流量从您的域控制器到Enterprise CA。
配置完这两个规则后,您的域控制器Enterprise CA会自动向您请求证书,并为您的目录启用 LDAPS。您的域控制器上的LDAP服务现在可以接受 LDAPS 连接了。
配置安全组规则
-
在 https://console.aws.amazon.com/ec2
上导航到您的 Amazon EC2 控制台,然后使用管理员凭证登录。 -
在左侧窗格中,选择 Network & Security 下方的 Security Groups。
-
在主窗格中,为您的 CA 选择 Amazon 安全组。
-
选择 Inbound 选项卡,然后选择 Edit。
-
在 Edit inbound rules 对话框中,执行以下操作:
-
选择添加规则。
-
为 Type 选择 All traffic,并为 Source 选择 Custom。
-
在 S our ce 旁边的框中输入目录 Amazon 的安全组(例如
sg-123456789)。 -
选择保存。
-
-
现在选择你的 Microsoft AD Amazon 托管目录 Amazon 的安全组。选择 Outbound 选项卡,然后选择 Edit。
-
在 Edit outbound rules 对话框中,执行以下操作:
-
选择添加规则。
-
为 Type 选择 All traffic,并为 Destination 选择 Custom。
-
在 “目标” 旁边的框中输入 CA Amazon 的安全组。
-
选择保存。
-
您可以使用该LDP工具测试 LDAPS 与 Amazon 托管 Microsoft AD 目录的连接。该LDP工具附带Active Directory Administrative Tools. 有关更多信息,请参阅 为托管的 Microsoft AD 安装活动目录 Amazon 管理工具。
注意
在测试 LDAPS 连接之前,您必须等待最长 30 分钟时间,以便从属 CA 向域控制器颁发证书。
有关服务器端 LDAPS 的更多详细信息以及如何进行设置的示例用例,请参阅安全博客上的如何为托管 Amazon Microsoft AD 目录启用服务器端 LDAPS