As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilitando o LDAPS do lado do cliente usando o Microsoft AD gerenciado AWS
<a name="ms_ad_ldap_client_side"></a>

O suporte do Lightweight Directory Access Protocol Secure Sockets Layer (SSL) /Transport Layer Security (TLS) (LDAPS) do lado do cliente no AWS Managed Microsoft AD criptografa as comunicações entre o Microsoft Active Directory (AD) autogerenciado (local) e os aplicativos. AWS Exemplos desses aplicativos incluem WorkSpaces Centro de Identidade do AWS IAM, Quick e Amazon Chime. Essa criptografia ajuda você a proteger melhor os dados de identidade da organização e atender aos requisitos de segurança.

## Pré-requisitos
<a name="ldap_client_side_prerequisites"></a>

Antes de habilitar o LDAPS no lado do cliente, você precisa atender aos requisitos a seguir.

**Topics**
+ [Crie uma relação de confiança entre seu Microsoft AD AWS gerenciado e o Microsoft Active Directory autogerenciado](#trust_relationship_MAD_and_self_managed)
+ [Implantar certificados de servidor no Active Directory](#ldap_client_side_deploy_server_certs)
+ [Requisitos de certificado da autoridade de certificação](#ldap_client_side_get_certs_ready)
+ [Requisitos de rede](#ldap_client_side_considerations_enabling)

### Crie uma relação de confiança entre seu Microsoft AD AWS gerenciado e o Microsoft Active Directory autogerenciado
<a name="trust_relationship_MAD_and_self_managed"></a>

Primeiro, você precisa estabelecer uma relação de confiança entre o Microsoft AD AWS gerenciado e o Microsoft Active Directory autogerenciado para habilitar o LDAPS do lado do cliente. Para obter mais informações, consulte [Criando uma relação de confiança entre seus AWS Microsoft AD gerenciado e AD autogerenciado](ms_ad_setup_trust.md).

### Implantar certificados de servidor no Active Directory
<a name="ldap_client_side_deploy_server_certs"></a>

Para habilitar o LDAPS no lado do cliente, é necessário obter e instalar certificados de servidor para cada controlador de domínio no Active Directory. Esses certificados serão usados pelo serviço LDAP para escutar e aceitar automaticamente as conexões SSL de clientes LDAP. Você pode usar os certificados SSL emitidos por uma implantação interna do Active Directory Certificate Services (ADCS) ou comprados de um emissor comercial. Para obter mais informações sobre os requisitos de certificado de servidor do Active Directory, consulte [LDAP over SSL (LDAPS) Certificate](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx) no site da Microsoft.

### Requisitos de certificado da autoridade de certificação
<a name="ldap_client_side_get_certs_ready"></a>

Um certificado de autoridade de certificação (CA), que representa o emissor dos certificados de servidor, é necessário para a operação LDAPS no lado do cliente. Os certificados CA são combinados com os certificados de servidor apresentados pelos controladores de domínio do Active Directory para criptografar as comunicações de LDAP. Observe os seguintes requisitos de certificado CA:
+ A autoridade de certificação (CA) empresarial é necessária para habilitar o LDAPS no lado do cliente. Você pode usar o serviço de certificados do Active Directory, uma autoridade de certificação comercial de terceiros ou o [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html). Para obter mais informações sobre a autoridade de certificação corporativa da Microsoft, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc875810(v=technet.10)?redirectedfrom=MSDN).
+  Para registrar um certificado, ele deve estar a mais de 90 dias da expiração.
+ Os certificados devem estar no formato PEM (Privacy Enhanced Mail). Se exportar certificados CA de dentro do Active Directory, escolha X.509 (.CER) codificado em base64 como o formato de arquivo de exportação.
+ No máximo cinco (5) certificados CA podem ser armazenados por diretório AWS gerenciado do Microsoft AD.
+ Não há suporte para certificados que usam o algoritmo de assinatura RSASSA-PSS.
+ Os certificados CA que são encadeados a cada certificado de servidor em cada domínio confiável devem ser registrados.

### Requisitos de rede
<a name="ldap_client_side_considerations_enabling"></a>

AWS o tráfego LDAP do aplicativo será executado exclusivamente na porta TCP 636, sem retorno para a porta LDAP 389. Porém, as comunicações LDAP do Windows que oferecem suporte a replicação, relações de confiança e muito mais continuarão a usar a porta LDAP 389 com segurança nativa do Windows. Configure grupos AWS de segurança e firewalls de rede para permitir comunicações TCP na porta 636 no AWS Microsoft AD gerenciado (saída) e no Active Directory autogerenciado (entrada). Mantenha a porta 389 do LDAP aberta entre o AWS Managed Microsoft AD e o Active Directory autogerenciado.

## Habilitar o LDAPS no lado do cliente
<a name="enableclientsideldaps"></a>

Para habilitar o LDAPS no lado do cliente, importe seu certificado de autoridade de certificação (CA) para o AWS Managed Microsoft AD e habilite o LDAPS no seu diretório. Após a habilitação, todo o tráfego LDAP entre os aplicativos da AWS e o seu Active Directory autogerenciado fluirá com a criptografia de canal Secure Sockets Layer (SSL).

É possível usar dois métodos diferentes para habilitar o LDAPS do lado do cliente para seu diretório. Você pode usar o Console de gerenciamento da AWS método ou o AWS CLI método.

**nota**  
O LDAPS do lado do cliente é um recurso regional do Managed AWS Microsoft AD. Se você estiver utilizando a [replicação em várias regiões](ms_ad_configure_multi_region_replication.md), os procedimentos a seguir devem ser aplicados separadamente em cada região. Para obter mais informações, consulte [Recursos globais versus regionais](multi-region-global-region-features.md).

**Topics**
+ [Etapa 1: registrar um certificado no Directory Service](#ms_ad_registercert)
+ [Etapa 2: verificar o status do registro](#ms_ad_check-registration-status)
+ [Etapa 3: habilitar o LDAPS no lado do cliente](#ms_ad_enableclientsideldapssteps)
+ [Etapa 4: verificar o status do LDAPS](#ms_ad_check-ldaps-status)

### Etapa 1: registrar um certificado no Directory Service
<a name="ms_ad_registercert"></a>

Use um dos métodos a seguir para registrar um certificado no Directory Service.

**Método 1: Para registrar seu certificado em Directory Service (Console de gerenciamento da AWS)**

1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.

1. Escolha o link do ID de seu diretório.

1. Na página **Detalhes do diretório**, siga um destes procedimentos:
   + Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região em que deseja registrar seu certificado e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
   + Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.

1. Na seção **Client-side LDAPS (LDAPS do lado do cliente)**, selecione o menu **Actions (Ações)** e escolha **Register certificate (Registrar certificado)**.

1. Na caixa de diálogo **Register a CA certificate (Registrar um certificado CA)**, selecione **Browse (Procurar)**, escolha o certificado e selecione **Open (Abrir)**.

1. Escolha **Register certificate (Registrar certificado)**.

**Método 2: Para registrar seu certificado em Directory Service (AWS CLI)**
+ Execute o comando a seguir. Para os dados do certificado, aponte para o local do arquivo de certificado CA. Um ID de certificado será fornecido na resposta.

  ```
  aws ds register-certificate --directory-id {{your_directory_id}} --certificate-data file://{{your_file_path}}
  ```

### Etapa 2: verificar o status do registro
<a name="ms_ad_check-registration-status"></a>

Para ver o status de um registro de certificado ou uma lista de certificados registrados, use um dos comandos a seguir.

**Método 1: Para verificar o status do registro do certificado em Directory Service (Console de gerenciamento da AWS)**

1. Vá para a seção **Client-side LDAPS (LDAPS do lado do cliente)** na página **Directory details (Detalhes do diretório)**.

1. Revise o estado de registro de certificado atual exibido na coluna **Registration status (Status do registro)**. Quando o valor do status do registro for alterado para **Registered (Registrado)**, seu certificado foi registrado com êxito.

**Método 2: Para verificar o status do registro do certificado em Directory Service (AWS CLI)**
+ Execute o comando a seguir. Se o valor de status retornar `Registered`, seu certificado foi registrado com êxito.

  ```
  aws ds list-certificates --directory-id {{your_directory_id}}
  ```

### Etapa 3: habilitar o LDAPS no lado do cliente
<a name="ms_ad_enableclientsideldapssteps"></a>

Use um dos métodos a seguir para habilitar o LDAPS do lado do cliente em. Directory Service

**nota**  
É necessário ter registrado com êxito pelo menos um certificado para habilitar o LDAPS do lado do cliente.

**Método 1: Para habilitar o LDAPS do lado do cliente em () Directory Service Console de gerenciamento da AWS**

1. Vá para a seção **Client-side LDAPS (LDAPS do lado do cliente)** na página **Directory details (Detalhes do diretório)**.

1. Escolha **Habilitar**. Se essa opção não estiver disponível, verifique se um certificado válido foi registrado com êxito e tente novamente.

1. Na caixa de diálogo **Enable client-side LDAPS (Habilitar LDAPS do lado do cliente)**, escolha **Enable (Habilitar)**.

**Método 2: Para habilitar o LDAPS do lado do cliente em () Directory Service AWS CLI**
+ Execute o comando a seguir.

  ```
  aws ds enable-ldaps --directory-id {{your_directory_id}} --type Client
  ```

### Etapa 4: verificar o status do LDAPS
<a name="ms_ad_check-ldaps-status"></a>

Use um dos métodos a seguir para verificar o status do LDAPS em Directory Service.

**Método 1: Para verificar o status do LDAPS em Directory Service ()Console de gerenciamento da AWS**

1. Vá para a seção **Client-side LDAPS (LDAPS do lado do cliente)** na página **Directory details (Detalhes do diretório)**.

1. Se o valor de status for exibido como **Enabled (Habilitado)**, o LDAPS foi configurado com êxito.

**Método 2: Para verificar o status do LDAPS em Directory Service ()AWS CLI**
+ Execute o comando a seguir. Se o valor de status retornar `Enabled`, o LDAPS foi configurado com êxito.

  ```
  aws ds describe-ldaps-settings –-directory-id {{your_directory_id}}
  ```

## Gerenciar o LDAPS no lado do cliente
<a name="ms_ad_manage-client-side-ldaps"></a>

Use estes comandos para gerenciar sua configuração LDAPS.

É possível usar dois métodos diferentes para gerenciar configurações do LDAPS do lado do cliente. Você pode usar o Console de gerenciamento da AWS método ou o AWS CLI método.

### Visualizar detalhes do certificado
<a name="ms_ad_describe-a-certificate"></a>

Use um dos seguintes métodos para ver quando um certificado está definido para expirar.

**Método 1: Para ver os detalhes do certificado em Directory Service (Console de gerenciamento da AWS)**

1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.

1. Escolha o link do ID de seu diretório.

1. Na página **Detalhes do diretório**, siga um destes procedimentos:
   + Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região em que deseja visualizar seu certificado e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
   + Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.

1. Na seção **Client-side LDAPS (LDAPS do lado do cliente)** em **CA certificates (Certificados CA)**, serão exibidas informações sobre o certificado.

**Método 2: Para ver os detalhes do certificado em Directory Service (AWS CLI)**
+ Execute o comando a seguir. Para o ID do certificado, use o identificador retornado por `register-certificate` ou `list-certificates`. 

  ```
  aws ds describe-certificate --directory-id {{your_directory_id}} --certificate-id {{your_cert_id}}
  ```

### Cancelar o registro de um certificado
<a name="ms_ad_dergister-a-certificate"></a>

Use um dos seguintes métodos para cancelar o registro de um certificado.

**nota**  
Se apenas um certificado estiver registrado, será necessário primeiro desabilitar o LDAPS para cancelar o registro do certificado.

**Método 1: Para cancelar o registro de um certificado em Directory Service ()Console de gerenciamento da AWS**

1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.

1. Escolha o link do ID de seu diretório.

1. Na página **Detalhes do diretório**, siga um destes procedimentos:
   + Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região em que deseja cancelar o registro do seu certificado e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
   + Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.

1. Na seção **Client-side LDAPS (LDAPS do lado do cliente)**, escolha **Actions (Ações)** e selecione **Deregister certificate (Cancelar registro do certificado)**.

1. Na caixa de diálogo **Deregister a CA certificate (Cancelar registro de certificado CA)**, escolha **Deregister (Cancelar registro)**.

**Método 2: Para cancelar o registro de um certificado em Directory Service ()AWS CLI**
+ Execute o comando a seguir. Para o ID do certificado, use o identificador retornado por `register-certificate` ou `list-certificates`. 

  ```
  aws ds deregister-certificate --directory-id {{your_directory_id}} --certificate-id {{your_cert_id}}
  ```

### Desabilitar o LDAPS no lado do cliente
<a name="ms_ad_disable-client-side-ldaps"></a>

Use um dos seguintes métodos para desabilitar o LDAPS do lado do cliente.

**Método 1: Para desativar o LDAPS do lado do cliente em () Directory Service Console de gerenciamento da AWS**

1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.

1. Escolha o link do ID de seu diretório.

1. Na página **Detalhes do diretório**, siga um destes procedimentos:
   + Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região em que deseja desabilitar o LDAPS no lado do cliente e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
   + Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.

1. Na seção **Client-side LDAPS (LDAPS do cliente)**, escolha **Disable (Desabilitar)**.

1. Na caixa de diálogo **Disable client-side LDAPS (Desabilitar LDAPS do lado do cliente)**, escolha **Disable (Desabilitar)**.

**Método 2: Para desativar o LDAPS do lado do cliente em () Directory Service AWS CLI**
+ Execute o comando a seguir.

  ```
  aws ds disable-ldaps --directory-id {{your_directory_id}} --type Client
  ```

## Problemas com o registro do certificado
<a name="certificate_enrollment_issue"></a>

O processo para inscrever seus controladores de domínio AWS gerenciados do Microsoft AD com os certificados CA pode levar até 30 minutos. Se você tiver problemas com a inscrição do certificado e quiser reiniciar seus controladores de domínio AWS gerenciados do Microsoft AD, entre em contato com. Suporte Para criar um caso de suporte, consulte [Creating support cases and case management](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html).