本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AWS Managed Microsoft AD 啟用伺服器端 LDAPS
<a name="ms_ad_ldap_server_side"></a>

伺服器端Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS)支援會加密商業或自有 LDAP感知應用程式與 AWS Managed Microsoft AD 目錄之間的LDAP通訊。這有助於改善整個線路的安全性，並使用Secure Sockets Layer (SSL)密碼編譯通訊協定滿足合規要求。

## 使用 啟用伺服器端 LDAPS AWS 私有憑證授權單位
<a name="enableserversideldaps_pca"></a>

如需如何使用 設定伺服器端 LDAPS 和憑證授權機構 (CA) 伺服器的詳細指示 AWS 私有 CA，請參閱 [設定適用於 AD 的 AWS 私有 CA Connector for AWS Managed Microsoft AD](ms_ad_pca_connector.md)。

## 使用 Microsoft CA 啟用伺服器端 LDAPS
<a name="enableserversideldaps_msca"></a>

如需如何設定伺服器端 LDAPS 和憑證授權機構 (CA) 伺服器的詳細指示，請參閱 AWS 安全部落格中的[如何為 AWS Managed Microsoft AD Directory 啟用伺服器端 LDAPS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)。

您必須從用來管理 AWS Managed Microsoft AD 域控制站的 Amazon EC2 執行個體，進行大部分的設定。下列步驟會引導您在 中為您的網域啟用 LDAPS AWS 雲端。

如果您想要使用自動化來設定PKI基礎設施，您可以使用[Microsoft公有金鑰基礎設施 on AWS QuickStart 指南](https://aws.amazon.com/quickstart/architecture/microsoft-pki/)。具體而言，您會想要遵循指南中的指示，將部署的[範本載入MicrosoftPKI現有的 VPCAWS](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps)。載入範本之後，針對 **Active Directory Domain Services Type** 選項，請務必選擇 **`AWSManaged`**。如果您使用快速指南，則可以直接跳至 [步驟 3：建立憑證範本](#createcustomcert)。

**Topics**
+ [步驟 1：委派可啟用 LDAPS 的人員](#grantpermsldaps)
+ [步驟 2：設定您的憑證授權機構](#setupca)
+ [步驟 3：建立憑證範本](#createcustomcert)
+ [步驟 4：新增安全群組規則](#addgrouprules)

### 步驟 1：委派可啟用 LDAPS 的人員
<a name="grantpermsldaps"></a>

若要啟用伺服器端 LDAPS，您必須是 AWS Managed Microsoft AD 目錄中管理員或 AWS 委派企業憑證授權機構管理員群組的成員。或者，您可以是預設管理使用者 (Admin 帳戶)。如果您想要的話，您可以讓 Admin 帳戶以外的使用者設定 LDAPS。在這種情況下，請將該使用者新增至 AWS Managed Microsoft AD AWS 目錄中的管理員或委派企業憑證授權機構管理員群組。

### 步驟 2：設定您的憑證授權機構
<a name="setupca"></a>

啟用伺服器端 LDAPS 之前，必須先建立憑證。此憑證必須由加入 AWS Managed Microsoft AD 網域的MicrosoftEnterprise CA伺服器發行。建立後，您必須在該網域中的每個網域控制站上安裝此憑證。此憑證可讓網域控制站上的 LDAP服務接聽和自動接受來自LDAP用戶端的SSL連線。

**注意**  
具有 AWS Managed Microsoft AD 的伺服器端 LDAPS 不支援由獨立 CA 發行的憑證。它也不支援第三方認證機構發行的憑證。

根據您的業務需求，您有以下選擇可設定或連線到網域中的 CA：
+ **建立次級 Microsoft Enterprise CA** – （建議） 使用此選項，您可以在 AWS 雲端中部署次級MicrosoftEnterprise CA伺服器。伺服器可以使用 Amazon EC2，以便與您現有的根 Microsoft CA 搭配使用。如需如何設定次級 Microsoft 的詳細資訊Enterprise CA，請參閱如何為 Managed Microsoft AD ** AD Directory 啟用伺服器端 LDAPS 中的步驟 4：新增 MicrosoftEnterprise CA到您的 AWS Microsoft**目錄。 [AWS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)
+ **建立根 Microsoft Enterprise CA** – 使用此選項，您可以使用 Amazon EC2 在 AWS 雲端MicrosoftEnterprise CA中建立根，並將其加入 AWS Managed Microsoft AD 網域。此根 CA 可以對您的網域控制站發出憑證。如需設定新根 CA 的詳細資訊，請參閱[AWS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)**如何為 Managed Microsoft AD Directory 啟用伺服器端 LDAPS 中的步驟 3：安裝和設定離線 CA**。

如需如何將您的 EC2 執行個體加入網域的詳細資訊，請參閱「[將 Amazon EC2 執行個體加入 AWS Managed Microsoft AD 的方法](ms_ad_join_instance.md)」。

### 步驟 3：建立憑證範本
<a name="createcustomcert"></a>

設定 Enterprise CA 之後，您可以設定Kerberos身分驗證憑證範本。

**建立憑證範本**

1. 啟動 **Microsoft Windows Server Manager**。選取**工具 > 憑證授權機構**。

1. 在**憑證授權機構**視窗中，展開左窗格中的**憑證授權機構**樹狀目錄。在**憑證範本**上按一下滑鼠右鍵，然後選擇**管理**。

1. 在**憑證範本主控台**視窗中，在 **Kerberos 身分驗證**上按一下滑鼠右鍵，然後選擇**複製範本**。

1. **新模板的屬性**視窗將彈出。

1. 在**新範本的屬性**視窗中，前往**相容性**索引標籤，然後執行下列動作：

   1. 將**憑證授權機構**變更為符合您 CA OS的 。

   1. 如果彈出**產生的變更**視窗，請選取**確定**。

   1. 將**憑證收件人**變更為 **Windows 10 / Windows Server 2016**。
**注意**  
AWS Managed Microsoft AD 採用 技術Windows Server 2019。

   1. 如果彈出**產生的變更**視窗，請選取**確定**。

1. 按一下**一般**索引標籤，然後將**範本顯示名稱**變更為 **LDAPOverSSL** 或您想要的任何其他名稱。

1. 按一下**安全性**索引標籤，然後在**群組或使用者名稱**區段中選擇**域控制站**。在**域控制站權限**區段中，確認已核取**讀取**、**登錄**和**自動註冊**的**允許**核取方塊。

1. 選擇**確定**以建立 **LDAPOverSSL** (或您在上面指定的名稱) 憑證範本。關閉**憑證範本主控台**視窗。

1. 在**憑證授權機構**視窗中，在**憑證範本**上按一下滑鼠右鍵，然後選擇**新增 > 要發出的憑證範本**。

1. 在**啟用憑證範本**視窗中，選擇 **LDAPOverSSL** (或您在上面指定的名稱)，然後選擇**確定**。

### 步驟 4：新增安全群組規則
<a name="addgrouprules"></a>

在最後一個步驟中，您必須開啟 Amazon EC2 主控台並新增安全群組規則。這些規則可讓您的網域控制站連線到 Enterprise CA以請求憑證。若要這樣做，您可以新增傳入規則，讓您的 Enterprise CA 可以接受來自網域控制站的傳入流量。然後，您可以新增傳出規則，以允許從網域控制站到 的流量Enterprise CA。

設定完這兩個規則後，網域控制站Enterprise CA會自動向您的 請求憑證，並為您的目錄啟用 LDAPS。網域控制站上的 LDAP服務現在已準備好接受 LDAPS 連線。

**設定安全群組規則**

1. 導覽至位於 [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) 的 Amazon EC2 主控台，然後使用管理員憑證進行登入。

1. 在左窗格的 **Network & Security** (網路與安全) 下，選擇 **Security Groups** (安全群組)。

1. 在主窗格中，選擇 CA AWS 的安全群組。

1. 選擇 **Inbound** (入站) 標籤，然後選擇 **Edit** (編輯)。

1. 在 **Edit inbound rules** (編輯輸入規則) 對話方塊中，執行下列動作：
   + 選擇 **Add Rule** (新增規則)。
   + 在 **Type** (類型) 選擇 **All traffic** (所有流量)，並在 **Source** (來源) 選擇 **Custom** (自訂)。
   + 在**來源**旁的方塊中輸入目錄 AWS 的安全群組 （例如 `sg-123456789`)。
   + 選擇**儲存**。

1. 現在選擇 AWS Managed Microsoft AD 目錄 AWS 的安全群組。選擇 **Outbound** (輸出) 標籤，然後選擇 **Edit** (編輯)。

1. 在 **Edit outbound rules** (編輯輸出規則) 對話方塊中，執行下列動作：
   + 選擇 **Add Rule** (新增規則)。
   + 在 **Type** (類型) 選擇 **All traffic** (所有流量)，並在 **Destination** (目標) 選擇 **Custom** (自訂)。
   + 在**目的地**旁的方塊中輸入 CA AWS 的安全群組。
   + 選擇**儲存**。

您可以使用 LDP工具測試與 AWS Managed Microsoft AD 目錄的 LDAPS 連線。LDP 工具隨附於 Active Directory Administrative Tools。如需詳細資訊，請參閱[安裝 AWS Managed Microsoft AD 的 Active Directory 管理工具](ms_ad_install_ad_tools.md)。

**注意**  
測試 LDAPS 連線之前，您最多必須等候 30 分鐘，直到次級 CA 對您的域控制站發出憑證。

如需伺服器端 LDAPS 的其他詳細資訊，並查看如何設定的範例使用案例，請參閱 AWS 安全部落格上的[如何為 AWS Managed Microsoft AD Directory 啟用伺服器端 LDAPS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)。