本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 AD Connector 启用客户端 LDAPS
AD Connector 中的客户端 LDAPS 支持可加密Microsoft活动目录 (AD) 和应用程序之间的通信。 AWS 此类应用程序的示例包括 WorkSpaces、 AWS IAM Identity Center、Quick 和 Amazon Chime。此加密可帮助您更好地保护您组织的身份数据并满足您的安全要求。
您也可以取消注册并禁用客户端 LDAPS。
**Topics**
+ [先决条件](#prereqs-ldap-client-side)
+ [启用客户端 LDAPS](#enable-ldap-client-side)
+ [管理客户端 LDAPS](manage-ldap-client-side.md)
## 先决条件
启用客户端 LDAPS 之前,您需要满足以下要求。
**Topics**
+ [在 Active Directory 中部署服务器证书](#deploy_server_certs_ldap_client_side)
+ [CA 证书要求](#cert_requirements_ldap_client_side)
+ [联网要求](#networking_requirements_ldap_client_side)
### 在 Active Directory 中部署服务器证书
要启用客户端 LDAPS,您需要为 Active Directory 中的每个域控制器获取并安装服务器证书。LDAP 服务将使用这些证书来侦听并自动接受来自 LDAP 客户端的 SSL 连接。您可以使用由内部 Active Directory Certificate Services (ADCS) 部署颁发的或从商业颁发机构处购买的 SSL 证书。有关 Active Directory 服务器证书要求的更多信息,请参阅 Microsoft 网站上的 [LDAP over SSL (LDAPS) 证书](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx)。
### CA 证书要求
客户端 LDAPS 操作需要证书颁发机构 (CA) 证书,它表示服务器证书的颁发者。CA 证书将与由 Active Directory 域控制器提供的服务器证书匹配来加密 LDAP 通信。请注意以下 CA 证书要求:
+ 要注册一个证书,该证书必须在 90 天以后才到期。
+ 证书必须采用隐私增强邮件 (PEM) 格式。如果要从 Active Directory 内部导出 CA 证书,请选择 base64 编码的 X.509 (.CER) 作为导出文件格式。
+ 每个 AD Connector 目录最多可存储五(5)个 CA 证书。
+ 使用 RSSAS-PSS 签名算法的证书不受支持。
### 联网要求
AWS 应用程序 LDAP 流量将仅在 TCP 端口 636 上运行,不会回退到 LDAP 端口 389。但是,支持复制、信任等的 Windows LDAP 通信将继续使用带有 Windows 本机安全性的 LDAP 端口 389。配置 AWS 安全组和网络防火墙,以允许 AD Connector(出站)和 Active Directory(入站)中的端口 636 上进行 TCP 通信。
## 启用客户端 LDAPS
要启用客户端 LDAPS,您需要将证书颁发机构(CA)证书导入 AD Connector,然后在您的目录上启用 LDAPS。启用后, AWS 应用程序和您自行管理的 Active Directory 之间的所有 LDAP 流量都将通过安全套接字层 (SSL) 通道加密进行流动。
您可以使用两种不同的方法为您的目录启用客户端 LDAPS。您可以使用 AWS 管理控制台 方法或 AWS CLI 方法。
### 在中注册证书 Directory Service
使用以下任一方法在中注册证书 Directory Service。
**方法 1:在 Directory Service (AWS 管理控制台) 中注册您的证书**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择目录的目录 ID 链接。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Networking & security (网络和安全性)** 选项卡。
1. 在 **Client-side LDAPS (客户端 LDAPS)** 部分中,选择 **Actions (操作)** 菜单,然后选择 **Register certificate (注册证书)**。
1. 在 **Register a CA certificate (注册 CA 证书)** 对话框中,选择 **Browse (浏览)**,然后选择证书并选择 **Open (打开)**。
1. 选择 **Register certificate (注册证书)**。
**方法 2:在 Directory Service (AWS CLI) 中注册您的证书**
+ 运行如下命令。对于证书数据,请指向 CA 证书文件的位置。响应中将会提供证书 ID。
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### 检查注册状态
要查看证书注册的状态或已注册证书的列表,请使用以下任一方法。
**方法 1:在 Directory Service (AWS 管理控制台) 中检查证书注册状态**
1. 转到**目录详细信息**页面上的**客户端 LDAPS** 部分。
1. 查看 **Registration status (注册状态)** 列下显示的当前证书注册状态。当注册状态值更改为 **Registered (已注册)** 时,您的证书已成功注册。
**方法 2:在 Directory Service (AWS CLI) 中检查证书注册状态**
+ 运行如下命令。如果状态值返回 `Registered`,则表示您的证书已成功注册。
```
aws ds list-certificates --directory-id your_directory_id
```
### 启用客户端 LDAPS
使用以下任一方法在中启用客户端 LDAPS。 Directory Service
**注意**
您必须已成功注册至少一个证书,然后才能启用客户端 LDAPS。
**方法 1:在 () 中 Directory Service 启用客户端 LDAPS AWS 管理控制台**
1. 转到**目录详细信息**页面上的**客户端 LDAPS** 部分。
1. 请选择**启用**。如果此选项不可用,请验证有效证书是否已成功注册,然后重试。
1. 在 **Enable client-side LDAPS (启用客户端 LDAPS)** 对话框中,选择 **Enable (启用)**。
**方法 2:在 () 中 Directory Service 启用客户端 LDAPS AWS CLI**
+ 运行如下命令。
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### 检查 LDAPS 状态
使用以下任一方法在中检查 LDAPS 状态。 Directory Service
**方法 1:在 Directory Service ()AWS 管理控制台中检查 LDAPS 状态**
1. 转到**目录详细信息**页面上的**客户端 LDAPS** 部分。
1. 如果状态值显示为 **Enabled (启用)**,则 LDAPS 已成功配置。
**方法 2:在 Directory Service ()AWS CLI中检查 LDAPS 状态**
+ 运行如下命令。如果状态值返回 `Enabled`,则 LDAPS 已成功配置。
```
aws ds describe-ldaps-settings –directory-id your_directory_id
```
有关查看客户端 LDAPS 证书、取消注册或禁用 LDAPS 证书的更多信息,请参阅[管理客户端 LDAPS](manage-ldap-client-side.md)。
# 管理客户端 LDAPS
使用这些命令可管理 LDAPS 配置。
您可以使用两种不同的方法来管理客户端 LDAPS 设置。您可以使用 AWS 管理控制台 方法或 AWS CLI 方法。
## 查看证书详细信息
使用下列方法之一查看证书设置为何时过期。
**方法 1:在 Directory Service (AWS 管理控制台) 中查看证书详细信息**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择目录的目录 ID 链接。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Networking & security (网络和安全性)** 选项卡。
1. 在 **Client-side LDAPS (客户端 LDAPS)** 部分的 **CA certificates (CA 证书)** 下,将显示有关证书的信息。
**方法 2:在 Directory Service (AWS CLI) 中查看证书详细信息**
+ 运行如下命令。对于证书 ID,请使用由 `register-certificate` 或 `list-certificates` 返回的标识符。
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## 取消注册证书
使用下列方法之一取消注册证书。
**注意**
如果只注册了一个证书,则必须先禁用 LDAPS,然后才能取消注册证书。
**方法 1:在 Directory Service ()AWS 管理控制台中注销证书**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择目录的目录 ID 链接。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Networking & security (网络和安全性)** 选项卡。
1. 在 **Client-side LDAPS (客户端 LDAPS)** 部分中,选择 **Actions (操作)**,然后选择 **Deregister certificate (取消注册证书)**。
1. 在 **Deregister a CA certificate (取消注册 CA 证书)** 对话框中,选择 **Deregister (取消注册)**。
**方法 2:在 Directory Service ()AWS CLI中注销证书**
+ 运行如下命令。对于证书 ID,请使用由 `register-certificate` 或 `list-certificates` 返回的标识符。
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## 禁用客户端 LDAPS
使用下列方法之一禁用客户端 LDAPS。
**方法 1:在 () 中 Directory Service 禁用客户端 LDAPS AWS 管理控制台**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择目录的目录 ID 链接。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Networking & security (网络和安全性)** 选项卡。
1. 在 **Client-side LDAPS (客户端 LDAPS)** 部分中,选择 **Disable (禁用)**。
1. 在 **Disable client-side LDAPS (禁用客户端 LDAPS)** 对话框中,选择 **Disable (禁用)**。
**方法 2:在 () 中 Directory Service 禁用客户端 LDAPS AWS CLI**
+ 运行如下命令。
```
aws ds disable-ldaps --directory-id your_directory_id --type Client
```