翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Managed Microsoft AD を使用したクライアント側の LDAPS の有効化
<a name="ms_ad_ldap_client_side"></a>

 AWS Managed Microsoft AD でのクライアント側の Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) サポートは、セルフマネージド (オンプレミス) Microsoft Active Directory (AD) と AWS アプリケーション間の通信を暗号化します。このようなアプリケーションの例には、WorkSpaces AWS IAM アイデンティティセンター、Quick、Amazon Chime などがあります。この暗号化により、組織の ID データの保護を強化し、セキュリティ要件を満たすことができます。

## 前提条件
<a name="ldap_client_side_prerequisites"></a>

クライアント側 LDAPS を有効にする前に、次の要件を満たす必要があります。

**Topics**
+ [AWS Managed Microsoft AD とセルフマネージド Microsoft Active Directory の間に信頼関係を作成する](#trust_relationship_MAD_and_self_managed)
+ [Active Directory にサーバー証明書をデプロイする](#ldap_client_side_deploy_server_certs)
+ [認証機関の証明書要件](#ldap_client_side_get_certs_ready)
+ [ネットワーク要件](#ldap_client_side_considerations_enabling)

### AWS Managed Microsoft AD とセルフマネージド Microsoft Active Directory の間に信頼関係を作成する
<a name="trust_relationship_MAD_and_self_managed"></a>

まず、 AWS Managed Microsoft AD とセルフマネージド Microsoft Active Directory の間に信頼関係を確立して、クライアント側の LDAPS を有効にする必要があります。詳細については、「[AWS Managed Microsoft AD とセルフマネージド AD 間の信頼関係の作成](ms_ad_setup_trust.md)」を参照してください。

### Active Directory にサーバー証明書をデプロイする
<a name="ldap_client_side_deploy_server_certs"></a>

クライアント側の LDAPS を有効にするには、Active Directory 内のドメインコントローラーごとに、サーバー証明書を取得しインストールする必要があります。これらの証明書は、LDAP サービスが LDAP クライアントからの SSL 接続をリッスンして自動的に承認するために使用されます。SSL 証明書は、社内の Active Directory 証明書サービス (ADCS) のデプロイから発行されたもの、または商用発行者から購入したものを使用できます。Active Directory サーバー証明書の要件の詳細については、Microsoft のウェブサイト「[LDAP over SSL (LDAPS) Certificate](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx)」(LDAP over SSL (LDAPS) 証明書) を参照してください。

### 認証機関の証明書要件
<a name="ldap_client_side_get_certs_ready"></a>

クライアント側 LDAPS のオペレーションには、サーバー証明書の発行元を表す認証機関 (CA) 証明書が必要です。LDAP 通信を暗号化するために、CA 証明書は、Active Directory のドメインコントローラーから提示されるサーバー証明書と照合されます。次の CA 証明書の要件に注意してください。
+ クライアント側 LDAPS を有効にするには、エンタープライズ認証機関 (CA) が必要です。Active Directory Certificate Service、サードパーティーの商用認証機関、または [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) を使用できます。Microsoft Enterprise Certificate Authority の詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc875810(v=technet.10)?redirectedfrom=MSDN)」をご参照ください。
+  証明書を登録するには、有効期限までに 90 日超の期間があることが必要です。
+ 証明書は、プライバシー強化メール (PEM) 形式である必要がありす。Active Directory 内から CA 証明書をエクスポートする場合は、そのファイル形式として Base64 でエンコードされた X.509 (.CER) を選択します。
+  AWS Managed Microsoft AD ディレクトリごとに最大 5 つの (5) CA 証明書を保存できます。
+ RSASSA-PSS 署名アルゴリズムを使用する証明書はサポートされていません。
+ 信頼される各ドメイン内の、すべてのサーバー証明書にチェーンされる CA 証明書は、登録を済ませておく必要があります。

### ネットワーク要件
<a name="ldap_client_side_considerations_enabling"></a>

AWS アプリケーション LDAP トラフィックは TCP ポート 636 でのみ実行され、LDAP ポート 389 へのフォールバックはありません。ただし、レプリケーション、信頼などをサポートする Windows LDAP 通信は、Windows ネイティブセキュリティを備えた LDAP ポート 389 を引き続き使用します。 AWS Managed Microsoft AD (アウトバウンド) とセルフマネージド Active Directory (インバウンド) のポート 636 で TCP 通信を許可するように AWS セキュリティグループとネットワークファイアウォールを設定します。 AWS Managed Microsoft AD と自己管理型 Active Directory の間で LDAP ポート 389 を、開いたままに維持します。

## クライアント側 LDAPS を有効にする
<a name="enableclientsideldaps"></a>

クライアント側の LDAPS を使用するには、認証期間 (CA) 証明書を AWS Managed Microsoft AD にインポートした上で、ディレクトリの LDAPS を有効にします。この有効化により、 AWS アプリケーションと自己管理型 Active Directory 間のすべての LDAP トラフィックには、Secure Sockets Layer (SSL) チャネルの暗号化が使用されます。

2 つの異なる方法を使用して、ディレクトリのクライアント側 LDAPS を有効にできます。 AWS マネジメントコンソール メソッドまたは AWS CLI メソッドを使用できます。

**注記**  
クライアント側の LDAPS は AWS Managed Microsoft AD のリージョン機能です。「[マルチリージョンレプリケーション](ms_ad_configure_multi_region_replication.md)」を使用している場合、次の手順を各リージョンで個別に適用する必要があります。詳細については、「[グローバル機能とリージョン機能](multi-region-global-region-features.md)」を参照してください。

**Topics**
+ [ステップ 1: で証明書を登録する Directory Service](#ms_ad_registercert)
+ [ステップ 2: 登録ステータスを確認する](#ms_ad_check-registration-status)
+ [ステップ 3: クライアント側 LDAPS を有効にする](#ms_ad_enableclientsideldapssteps)
+ [ステップ 4: LDAPS ステータスを確認する](#ms_ad_check-ldaps-status)

### ステップ 1: で証明書を登録する Directory Service
<a name="ms_ad_registercert"></a>

証明書を登録するには、次のいずれかの方法を使用します Directory Service。

**方法 1: 証明書を Directory Service (AWS マネジメントコンソール) に登録するには**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。

1. ディレクトリのディレクトリ ID リンクを選択します。

1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合には、証明書を登録するリージョンを選択した上で、**[Networking & security]** (ネットワークとセキュリティ) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。

1. **[Client-side LDAPS]** (クライアント側 LDAPS) セクションで、**[Actions]** (アクション) メニューを選択してから、**[Register certificate]** (証明書の登録) を選択します。

1. **[Register a CA certificate]** (CA 証明書を登録する) ダイアログボックスで **[Browse]** (参照) をクリックしてから、証明書を選択し、**[Open]** (開く) をクリックします。

1. **[Register certificate]** (証明書の登録) を選択します。

**方法 2: 証明書を Directory Service (AWS CLI) に登録するには**
+ 以下のコマンドを実行してください。証明書データについては、CA 証明書ファイルの場所を指定します。証明書 ID がレスポンスとして提供されます。

  ```
  aws ds register-certificate --directory-id {{your_directory_id}} --certificate-data file://{{your_file_path}}
  ```

### ステップ 2: 登録ステータスを確認する
<a name="ms_ad_check-registration-status"></a>

証明書登録のステータスまたは登録済み証明書のリストを表示するには、次のいずれかの方法を使用します。

**方法 1: ( Directory Service AWS マネジメントコンソール) で証明書の登録ステータスを確認するには**

1. **[Directory details]** (ディレクトリの詳細) ページの **[Client-side LDAPS]** (クライアント側 LDAPS) セクションに移動します。

1. **[Registration status]** (登録ステータス) 列に表示される現在の証明書登録状態を確認します。登録ステータスの値が **[Registered]** (登録済み) に変わると、証明書は正常に登録されています。

**方法 2: ( Directory Service AWS CLI) で証明書の登録ステータスを確認するには**
+ 次のコマンドを実行します。ステータス値として `Registered` が返される場合、証明書は正常に登録されています。

  ```
  aws ds list-certificates --directory-id {{your_directory_id}}
  ```

### ステップ 3: クライアント側 LDAPS を有効にする
<a name="ms_ad_enableclientsideldapssteps"></a>

でクライアント側の LDAPS を有効にするには、次のいずれかの方法を使用します Directory Service。

**注記**  
クライアント側 LDAPS を有効にするには、1 つ以上の証明書が正常に登録されている必要があります。

**方法 1: Directory Service (AWS マネジメントコンソール) でクライアント側の LDAPS を有効にするには**

1. **[Directory details]** (ディレクトリの詳細) ページの **[Client-side LDAPS]** (クライアント側 LDAPS) セクションに移動します。

1. **[Enable]** (有効化) を選択します。このオプションを使用できない場合は、有効な証明書が正常に登録されていることを確認してから、もう一度やり直してください。

1. **[Enable client-side LDAPS]** (クライアント側 LDAPS を有効にする) ダイアログボックスで、**[Enable]** (有効化) を選択します。

**方法 2: Directory Service (AWS CLI) でクライアント側の LDAPS を有効にするには**
+ 以下のコマンドを実行してください。

  ```
  aws ds enable-ldaps --directory-id {{your_directory_id}} --type Client
  ```

### ステップ 4: LDAPS ステータスを確認する
<a name="ms_ad_check-ldaps-status"></a>

LDAPS ステータスを確認するには、次のいずれかの方法を使用します Directory Service。

**方法 1: LDAPS ステータスを確認するには Directory Service (AWS マネジメントコンソール)**

1. **[Directory details]** (ディレクトリの詳細) ページの **[Client-side LDAPS]** (クライアント側 LDAPS) セクションに移動します。

1. ステータス値が **[Enabled]** (有効) と表示されている場合、LDAPS は正常に設定されています。

**方法 2: LDAPS ステータスを確認するには Directory Service (AWS CLI)**
+ 以下のコマンドを実行してください。ステータス値として `Enabled` が返される場合、LDAPS は正常に設定されています。

  ```
  aws ds describe-ldaps-settings –-directory-id {{your_directory_id}}
  ```

## クライアント側 LDAPS を管理する
<a name="ms_ad_manage-client-side-ldaps"></a>

LDAPS 設定を管理するには、以下のコマンドを使用します。

2 つの異なる方法を使用して、クライアント側 LDAPS 設定を管理できます。 AWS マネジメントコンソール メソッドまたは AWS CLI メソッドを使用できます。

### 証明書の詳細を表示する
<a name="ms_ad_describe-a-certificate"></a>

以下のいずれかの方法を使用して、証明書の有効期限を確認します。

**方法 1: ( Directory Service AWS マネジメントコンソール) で証明書の詳細を表示するには**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。

1. ディレクトリのディレクトリ ID リンクを選択します。

1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、証明書を表示するリージョンを選択した上で、**[Networking & security]** (ネットワークとセキュリティ) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。

1. **[Client-side LDAPS]** (クライアント側 LDAPS) セクションの **[CA certificates]** (CA 証明書) に、証明書に関する情報が表示されます。

**方法 2: ( Directory Service AWS CLI) で証明書の詳細を表示するには**
+ 以下のコマンドを実行してください。証明書 ID として、`register-certificate` または `list-certificates` から返される識別子を使用します。

  ```
  aws ds describe-certificate --directory-id {{your_directory_id}} --certificate-id {{your_cert_id}}
  ```

### 証明書の登録解除
<a name="ms_ad_dergister-a-certificate"></a>

以下のいずれかの方法を使用して、証明書を登録解除します。

**注記**  
登録されている証明書が 1 つのみの場合は、証明書を登録解除する前に、まず LDAPS を無効にする必要があります。

**方法 1: ( Directory Service AWS マネジメントコンソール) で証明書の登録を解除するには**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。

1. ディレクトリのディレクトリ ID リンクを選択します。

1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、証明書の登録を解除するリージョンを選択した上で、**[Networking & security]** (ネットワークとセキュリティ) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。

1. **[Client-side LDAPS]** (クライアント側 LDAPS) セクションで、**[Actions]** (アクション) を選択してから、**[Deregister certificate]** (証明書の登録解除) を選択します。

1. **[Deregister a CA certificate]** (CA 証明書を登録解除する) ダイアログボックスで、**[Deregister]** (登録解除) をクリックします。

**方法 2: ( Directory Service AWS CLI) で証明書の登録を解除するには**
+ 以下のコマンドを実行してください。証明書 ID として、`register-certificate` または `list-certificates` から返される識別子を使用します。

  ```
  aws ds deregister-certificate --directory-id {{your_directory_id}} --certificate-id {{your_cert_id}}
  ```

### クライアント側 LDAPS の無効化
<a name="ms_ad_disable-client-side-ldaps"></a>

以下のいずれかの方法を使用して、クライアント側 LDAPS を無効にします。

**方法 1: Directory Service (AWS マネジメントコンソール) でクライアント側の LDAPS を無効にするには**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。

1. ディレクトリのディレクトリ ID リンクを選択します。

1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、クライアント側の LDAPS を無効にするリージョンを選択した上で、**[Networking & security]** (ネットワークとセキュリティ) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。

1. **[Client-side LDAPS]** (クライアント側 LDAPS) セクションで、**[Disable]** (無効化) を選択します。

1. **[Disable client-side LDAPS]** (クライアント側 LDAPS を無効にする) ダイアログボックスで、**[Disable]** (無効化) をクリックします。

**方法 2: Directory Service (AWS CLI) でクライアント側の LDAPS を無効にするには**
+ 以下のコマンドを実行してください。

  ```
  aws ds disable-ldaps --directory-id {{your_directory_id}} --type Client
  ```

## 証明書登録に関する問題
<a name="certificate_enrollment_issue"></a>

 AWS Managed Microsoft AD ドメインコントローラーを CA 証明書に登録するプロセスには、最大 30 分かかる場合があります。証明書の登録で問題が発生し、 AWS Managed Microsoft AD ドメインコントローラーを再起動する場合は、 にお問い合わせください サポート。サポートケースの作成については、「[サポートケースの作成とケース管理](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html)」を参照してください。