Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengaktifkan LDAPS sisi server menggunakan Microsoft AD yang Dikelola AWS
Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS)Dukungan sisi server mengenkripsi LDAP komunikasi antara aplikasi LDAP sadar komersial atau lokal Anda dan direktori Microsoft AD Terkelola Anda. AWS Ini membantu meningkatkan keamanan di seluruh kabel dan memenuhi persyaratan kepatuhan menggunakan protokol Secure Sockets Layer (SSL) kriptografi.
## Aktifkan LDAPS sisi server menggunakan AWS Private Certificate Authority
Untuk petunjuk terperinci tentang cara mengatur dan mengonfigurasi LDAPS sisi server dan server otoritas sertifikat (CA) yang Anda gunakan, lihat. AWS Private CA[Mengatur AWS Private CA Konektor untuk AD untuk Microsoft AD yang AWS Dikelola](ms_ad_pca_connector.md)
## Aktifkan LDAPS sisi server menggunakan CA Microsoft
Untuk petunjuk terperinci tentang cara mengatur dan mengonfigurasi LDAPS sisi server dan server otoritas sertifikat (CA) Anda, lihat [Cara Mengaktifkan LDAPS Sisi Server untuk Direktori Microsoft AD Terkelola Anda AWS di Blog Keamanan](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/). AWS
Anda harus melakukan sebagian besar pengaturan dari instans Amazon EC2 yang Anda gunakan untuk mengelola pengendali domain Microsoft AD yang Dikelola AWS Anda. Langkah-langkah berikut memandu Anda untuk mengaktifkan LDAPS untuk domain Anda di. AWS Cloud
Jika Anda ingin menggunakan otomatisasi untuk mengatur PKI Infrastruktur Anda, Anda dapat menggunakan [Infrastruktur Kunci Microsoft Publik pada AWS QuickStart Panduan](https://aws.amazon.com/quickstart/architecture/microsoft-pki/). Secara khusus Anda akan ingin mengikuti petunjuk dalam panduan untuk memuat template untuk [Deploy MicrosoftPKI ke dalam yang sudah ada VPC](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps). AWS Setelah Anda memuat templat, pastikan untuk memilih **`AWSManaged`** saat Anda sampai ke opsi **Jenis Layanan Domain Direktori Aktif**. Jika Anda menggunakan QuickStart panduan ini, Anda dapat melompat langsung ke[Langkah 3: Membuat templat sertifikat](#createcustomcert).
**Topics**
+ [Langkah 1: Delegasikan yang dapat mengaktifkan LDAPS](#grantpermsldaps)
+ [Langkah 2: Mengatur otoritas sertifikat Anda](#setupca)
+ [Langkah 3: Membuat templat sertifikat](#createcustomcert)
+ [Langkah 4: Menambahkan aturan grup keamanan](#addgrouprules)
### Langkah 1: Delegasikan yang dapat mengaktifkan LDAPS
Untuk mengaktifkan LDAPS sisi server, Anda harus menjadi anggota grup Admin atau Administrator Otoritas Sertifikat Perusahaan yang AWS Delegasi di direktori Microsoft AD yang Dikelola. AWS Atau, Anda dapat menjadi pengguna administratif default (akun Admin). Jika mau, Anda dapat memiliki pengguna selain LDAPS pengaturan akun Admin. Jika demikian, tambahkan pengguna tersebut ke grup Admin atau Administrator Otoritas Sertifikat Perusahaan AWS yang Delegasi di direktori AD AWS Microsoft Terkelola Anda.
### Langkah 2: Mengatur otoritas sertifikat Anda
Sebelum Anda dapat mengaktifkan LDAPS sisi server, Anda harus membuat sertifikat. Sertifikat ini harus dikeluarkan oleh Microsoft Enterprise CA server yang bergabung dengan domain Microsoft AD AWS Terkelola Anda. Setelah dibuat, sertifikat harus diinstal pada masing-masing pengendali domain Anda di domain tersebut. Sertifikat ini memungkinkan LDAP layanan pada pengontrol domain mendengarkan dan secara otomatis menerima SSL koneksi dari LDAP klien.
**catatan**
LDAPS sisi server dengan Microsoft AD yang AWS Dikelola tidak mendukung sertifikat yang dikeluarkan oleh CA mandiri. Itu juga tidak mendukung sertifikat yang dikeluarkan oleh otoritas sertifikasi pihak ketiga.
Tergantung pada kebutuhan bisnis Anda, Anda memiliki pilihan berikut untuk mengatur atau menghubungkan ke CA di domain Anda:
+ **Buat bawahan Microsoft Enterprise CA** — (Disarankan) Dengan opsi ini, Anda dapat menggunakan Microsoft Enterprise CA server bawahan di Cloud. AWS Server dapat menggunakan Amazon EC2 sehingga berfungsi dengan root Microsoft CA yang ada. Untuk informasi selengkapnya tentang cara menyiapkan bawahan MicrosoftEnterprise CA, lihat **Langkah 4: Menambahkan Microsoft Enterprise CA ke AWS Microsoft AD direktori Anda** di [Cara Mengaktifkan LDAPS Sisi Server untuk Direktori Microsoft AD yang Dikelola](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/). AWS
+ **Buat root Microsoft Enterprise CA** — Dengan opsi ini, Anda dapat membuat root Microsoft Enterprise CA di AWS Cloud menggunakan Amazon EC2 dan menggabungkannya ke domain AWS Microsoft AD yang Dikelola. Root CA ini dapat mengeluarkan sertifikat untuk pengendali domain Anda. Untuk informasi selengkapnya tentang menyiapkan CA root baru, lihat **Langkah 3: Menginstal dan mengonfigurasi CA offline** di [Cara Mengaktifkan LDAPS Sisi Server untuk Direktori Microsoft AD yang Dikelola AWS Anda](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).
Untuk informasi selengkapnya tentang cara menggabungkan instans EC2 Anda ke domain, lihat [Cara untuk bergabung dengan instans Amazon EC2 ke AWS Microsoft AD yang Dikelola](ms_ad_join_instance.md).
### Langkah 3: Membuat templat sertifikat
Setelah Anda Enterprise CA telah diatur, Anda dapat mengkonfigurasi template sertifikat Kerberos otentikasi.
**Membuat templat sertifikat**
1. Luncurkan **Pengelola Server Microsoft Windows** Pilih **Alat > Otoritas Sertifikasi**.
1. Di jendela **Otoritas Sertifikat**, perluas pohon **Otoritas Sertifikat** di panel kiri. Klik kanan **Templat Sertifikat**, dan pilih **Kelola**.
1. Di jendela **Konsol Templat Sertifikat**, klik kanan **Autentikasi Kerberos** dan pilih **Templat Duplikasi**.
1. Jendela **Properti Templat Baru** akan muncul.
1. Di jendela **Properti Templat Baru**, pergi ke tab **Kompatibilitas**, dan kemudian lakukan hal berikut:
1. Ubah **Otoritas Sertifikasi** ke OS yang cocok dengan CA Anda.
1. Jika jendela **Perubahan yang dihasilkan** muncul, pilih **OK**.
1. Ubah **penerima Sertifikasi** ke **Windows 10/Windows Server 2016**.
**catatan**
AWS Microsoft AD yang dikelola didukung olehWindows Server 2019.
1. Jika jendela **Perubahan yang dihasilkan** muncul, pilih **OK**.
1. Klik tab **Umum** dan ubah **nama tampilan Template** menjadi **LDAPOverSSL** atau nama lain yang Anda inginkan.
1. Klik tab **Keamanan**, dan pilih **Pengontrol domain** di bagian **Nama grup atau pengguna**. Di bagian **Izin untuk Pengendali Domain**, verifikasi bahwa kotak centang **Izinkan** untuk **Baca**, **Mendaftar**, dan**Autoenroll** dicentang.
1. Pilih **OK** untuk membuat template sertifikat **LDAPOverSSL** (atau nama yang Anda tentukan di atas). Tutup jendela **Konsol Templat Sertifikat**.
1. Di jendela **Otoritas Sertifikat**, klik kanan **Templat Sertifikat**, dan pilih **Baru > Templat Sertifikat untuk Diterbitkan**.
1. Di jendela **Aktifkan Templat Sertifikat**, pilih **LDAPOverSSL** (atau nama yang Anda tentukan di atas), lalu pilih **OK**.
### Langkah 4: Menambahkan aturan grup keamanan
Pada langkah terakhir, Anda harus membuka konsol Amazon EC2 dan menambahkan aturan grup keamanan. Aturan ini memungkinkan pengontrol domain Anda terhubung ke Anda Enterprise CA untuk meminta sertifikat. Untuk melakukan ini, Anda menambahkan aturan masuk sehingga Anda Enterprise CA dapat menerima lalu lintas masuk dari pengontrol domain Anda. Kemudian Anda menambahkan aturan keluar untuk mengizinkan lalu lintas dari pengontrol domain Anda ke. Enterprise CA
Setelah kedua aturan telah dikonfigurasi, pengontrol domain Anda meminta sertifikat dari Anda Enterprise CA secara otomatis dan mengaktifkan LDAPS untuk direktori Anda. LDAPLayanan pada pengontrol domain Anda sekarang siap menerima koneksi LDAPS.
**Mengonfigurasi aturan grup keamanan**
1. Arahkan ke konsol Amazon EC2 Anda di [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) dan masuk dengan kredensyal administrator.
1. Di panel kiri, pilih **Kelompok Keamanan** di bawah **Jaringan & Keamanan**.
1. Di panel utama, pilih grup AWS keamanan untuk CA Anda.
1. Pilih tab **Masuk**, lalu pilih **Edit** .
1. Di kotak dialog **Edit aturan masuk**, lakukan hal berikut:
+ Pilih **Tambahkan aturan**.
+ Pilih **Semua Lalu lintas** untuk **Jenis** dan **Khusus**untuk **Sumber**.
+ Masukkan grup AWS keamanan (misalnya,`sg-123456789`) untuk direktori Anda di kotak di sebelah **Sumber**.
+ Pilih **Simpan**.
1. Sekarang pilih grup AWS keamanan direktori Microsoft AD AWS Terkelola Anda. Pilih tab **Keluar**, lalu pilih **Edit**.
1. Di kotak dialog **Edit aturan keluar**, lakukan hal berikut:
+ Pilih **Tambahkan aturan**.
+ Pilih **Semua Lalu lintas** untuk **Jenis** dan **Khusus**untuk **Tujuan**.
+ Masukkan grup AWS keamanan untuk CA Anda di kotak di sebelah **Tujuan**.
+ Pilih **Simpan**.
Anda dapat menguji koneksi LDAPS ke direktori AWS Microsoft AD yang Dikelola menggunakan alat ini. LDP LDPAlat ini dilengkapi denganActive Directory Administrative Tools. Untuk informasi selengkapnya, lihat [Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola](ms_ad_install_ad_tools.md).
**catatan**
Sebelum Anda menguji koneksi LDAPS, Anda harus menunggu hingga 30 menit untuk CA bawahan mengeluarkan sertifikat untuk pengendali domain Anda.
Untuk detail tambahan tentang LDAPS sisi server dan untuk melihat contoh kasus penggunaan tentang cara mengaturnya, lihat [Cara Mengaktifkan LDAPS Sisi Server untuk Direktori Microsoft AD Terkelola Anda AWS di Blog Keamanan](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/). AWS