Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Aktivieren von clientseitigem LDAPS mithilfe von AD Connector
<a name="ad_connector_ldap_client_side"></a>

Die clientseitige LDAPS-Unterstützung in AD Connector verschlüsselt die Kommunikation zwischen Microsoft Active Directory (AD) und Anwendungen. AWS Beispiele für solche Anwendungen sind WorkSpaces, AWS IAM Identity Center, Quick und Amazon Chime. Diese Verschlüsselung hilft Ihnen, die Identitätsdaten Ihres Unternehmens besser zu schützen und Ihre Sicherheitsanforderungen zu erfüllen.

Sie können auch clientseitiges LDAPS abmelden und deaktivieren.

**Topics**
+ [Voraussetzungen](#prereqs-ldap-client-side)
+ [Aktivierung von clientseitigem LDAPS](#enable-ldap-client-side)
+ [Clientseitiges LDAPS verwalten](manage-ldap-client-side.md)

## Voraussetzungen
<a name="prereqs-ldap-client-side"></a>

Bevor Sie clientseitiges LDAPS aktivieren, müssen Sie die folgenden Anforderungen erfüllen.

**Topics**
+ [Serverzertifikate in Active Directory bereitstellen](#deploy_server_certs_ldap_client_side)
+ [CA-Zertifikat-Anforderungen](#cert_requirements_ldap_client_side)
+ [Netzwerkanforderungen](#networking_requirements_ldap_client_side)

### Serverzertifikate in Active Directory bereitstellen
<a name="deploy_server_certs_ldap_client_side"></a>

Um clientseitiges LDAPS aktivieren zu können, müssen Sie Serverzertifikate für jeden Domain-Controller in Ihrem Active Directory abrufen und installieren. Diese Zertifikate werden vom LDAP-Service verwendet, um SSL-Verbindungen von LDAP-Clients zu überwachen und automatisch zu akzeptieren. Sie können SSL-Zertifikate verwenden, die entweder von einer internen Active Directory Certificate Services (ADCS)-Bereitstellung ausgestellt oder von einem kommerziellen Aussteller erworben werden. Weitere Informationen zu Active Directory-Serverzertifikatanforderungen finden Sie unter [LDAP over SSL (LDAPS) Certificate](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx) auf der Microsoft-Website.

### CA-Zertifikat-Anforderungen
<a name="cert_requirements_ldap_client_side"></a>

Ein Zertifikat der Zertifizierungsstelle (Certificate Authority, CA), das den Aussteller Ihrer Serverzertifikate darstellt, ist für den clientseitigen LDAPS-Betrieb erforderlich. Zertifizierungsstellenzertifikate (CA-Zertifikate) werden mit den Serverzertifikaten abgeglichen, die von den Active-Directory-Domain-Controllern zur Verschlüsselung der LDAP-Kommunikation bereitgestellt werden. Beachten Sie die folgenden Zertifizierungsstellenzertifikat-Anforderungen:
+  Es können nur Zertifikate registriert werden, die noch mehr als 90 Tage lang gültig sind.
+ Zertifikate müssen im PEM-Format (Privacy-Enhanced Mail) vorliegen. Wenn Sie Zertifizierungsstellenzertifikate aus Active Directory exportieren, wählen Sie base64-codiertes X.509 (.CER) als Exportdateiformat aus.
+ Es können maximal fünf (5) CA-Zertifikate pro AD-Connector-Verzeichnis gespeichert werden.
+ Zertifikate, die den RSASSA-PSS-Signaturalgorithmus verwenden, werden nicht unterstützt.

### Netzwerkanforderungen
<a name="networking_requirements_ldap_client_side"></a>

AWS Der LDAP-Verkehr von Anwendungen wird ausschließlich auf TCP-Port 636 ausgeführt, ohne dass ein Fallback auf den LDAP-Port 389 erfolgt. Für die Windows LDAP-Kommunikation, die Replikation, Vertrauensstellungen und mehr unterstützt, wird jedoch weiterhin LDAP-Port 389 mit Windows-nativer Sicherheit verwendet. Konfigurieren Sie AWS Sicherheitsgruppen und Netzwerkfirewalls, um TCP-Kommunikation auf Port 636 in AD Connector (ausgehend) und selbstverwaltetem Active Directory (eingehend) zu ermöglichen. 

## Aktivierung von clientseitigem LDAPS
<a name="enable-ldap-client-side"></a>

Um clientseitiges LDAPS zu aktivieren, importieren Sie das Zertifikat Ihrer Zertifizierungsstelle (CA) in AD Connector und aktivieren dann LDAPS für Ihr Verzeichnis. Nach der Aktivierung wird der gesamte LDAP-Verkehr zwischen AWS Anwendungen und Ihrem selbstverwalteten Active Directory mit Secure Sockets Layer (SSL) -Kanalverschlüsselung übertragen.

Sie können zwei verschiedene Verfahren nutzen, um client-seitiges LDAPS für Ihr Verzeichnis zu aktivieren. Sie können entweder die AWS-Managementkonsole Methode oder die AWS CLI Methode verwenden.

### Zertifikat wird registriert in Directory Service
<a name="step1-register-cert-ldap-client-side"></a>

Verwenden Sie eine der folgenden Methoden, um ein Zertifikat in zu registrieren Directory Service.

**Methode 1: Um Ihr Zertifikat in Directory Service (AWS-Managementkonsole) zu registrieren**

1. Wählen Sie im Navigationsbereich der [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) **Verzeichnisse**.

1. Klicken Sie auf den Verzeichnis-ID-Link für Ihr Verzeichnis.

1. Wählen Sie auf der Seite **Directory details (Verzeichnisdetails)** die Registerkarte **Networking & security (Netzwerk & Sicherheit)** aus.

1. Wählen Sie im Abschnitt **Client-side LDAPS (clientseitiges LDAPS)** das Menü **Actions (Aktionen)** aus und klicken Sie dann auf **Register certificate (Zertifikat registrieren)**.

1. Klicken Sie im Dialogfeld **Register a CA certificate (Registrieren eines CA-Zertifikats)** auf die Option **Browse (Durchsuchen)**, wählen Sie dann das Zertifikat aus und klicken Sie anschließend auf die Option **Open (Öffnen)**.

1. Wählen Sie die Option **Register certificate (Zertifikat registrieren)** aus.

**Methode 2: Um Ihr Zertifikat in Directory Service (AWS CLI) zu registrieren**
+ Führen Sie den folgenden Befehl aus. Zeigen Sie für die Zertifikatdaten auf den Speicherort der Zertifizierungsstellen-Zertifikatdatei. In der Antwort wird eine Zertifikat-ID angegeben.

  ```
  aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
  ```

### Überprüfen Sie den Registrierungsstatus
<a name="step2-check-registration-status-ldap-client-side"></a>

Um sich den Status einer Zertifikatsregistrierung oder eine Liste der registrierten Zertifikate anzeigen zu lassen, nutzen Sie eines der folgenden Verfahren.

**Methode 1: Um den Registrierungsstatus des Zertifikats in Directory Service (AWS-Managementkonsole) zu überprüfen**

1. Gehen Sie zum Abschnitt **Clientseitiges LDAPS** auf der Seite **Verzeichnisdetails**.

1. Überprüfen Sie den aktuellen Status der Zertifikatregistrierung, der in der Spalte **Registration status (Registrierungsstatus)** angezeigt wird. Wenn sich der Wert des Registrierungsstatus in **Registered (Registriert)** ändert, ist Ihr Zertifikat erfolgreich registriert worden.

**Methode 2: Um den Status der Zertifikatsregistrierung in Directory Service (AWS CLI) zu überprüfen**
+ Führen Sie den folgenden Befehl aus. Wenn der Statuswert `Registered` zurückgegeben wird, wurde Ihr Zertifikat erfolgreich registriert.

  ```
  aws ds list-certificates --directory-id your_directory_id
  ```

### Aktivierung von clientseitigem LDAPS
<a name="step3-enable-ldap-client-side"></a>

Verwenden Sie eine der folgenden Methoden, um clientseitiges LDAPS in zu aktivieren. Directory Service

**Anmerkung**  
Sie müssen mindestens ein Zertifikat erfolgreich registriert haben, bevor Sie das clientseitige LDAPS aktivieren können.

**Methode 1: Um clientseitiges LDAPS in () zu aktivieren Directory Service AWS-Managementkonsole**

1. Gehen Sie zum Abschnitt **Clientseitiges LDAPS** auf der Seite **Verzeichnisdetails**.

1. Wählen Sie **Enable (Aktivieren)** aus. Steht diese Option nicht zur Verfügung, überprüfen Sie, ob ein gültiges Zertifikat erfolgreich registriert wurde, und versuchen Sie es dann erneut.

1. Wählen Sie im Dialogfeld **Enable client-side LDAPS (Client-seitiges LDAPS aktivieren)** die Option **Enable (Aktivieren)**.

**Methode 2: Um clientseitiges LDAPS in () zu aktivieren Directory Service AWS CLI**
+ Führen Sie den folgenden Befehl aus.

  ```
  aws ds enable-ldaps --directory-id your_directory_id --type Client
  ```

### Der LDAPS-Status wird überprüft
<a name="step4-check-status-ldap-client-side"></a>

Verwenden Sie eine der folgenden Methoden, um den LDAPS-Status in zu überprüfen. Directory Service

**Methode 1: Um den LDAPS-Status in Directory Service () zu überprüfen AWS-Managementkonsole**

1. Gehen Sie zum Abschnitt **Clientseitiges LDAPS** auf der Seite **Verzeichnisdetails**.

1. Wenn der Statuswert als **Enabled (Aktiviert)** angezeigt wird, wurde das LDAPS erfolgreich konfiguriert.

**Methode 2: Um den LDAPS-Status in Directory Service () zu überprüfen AWS CLI**
+ Führen Sie den folgenden Befehl aus. Wenn der Statuswert `Enabled` zurückgibt, wurde das LDAPS erfolgreich konfiguriert.

  ```
  aws ds describe-ldaps-settings –directory-id your_directory_id
  ```

Weitere Informationen zum Anzeigen Ihres clientseitigen LDAPS-Zertifikats, zum Abmelden oder Deaktivieren Ihres LDAPS-Zertifikats finden Sie unter. [Clientseitiges LDAPS verwalten](manage-ldap-client-side.md)

# Clientseitiges LDAPS verwalten
<a name="manage-ldap-client-side"></a>

Verwenden Sie diese Befehle, um Ihre LDAPS-Konfiguration zu verwalten.

Sie können zwei verschiedene Verfahren nutzen, um client-seitige LDAPS-Einstellungen zu verwalten. Sie können entweder die AWS-Managementkonsole Methode oder die Methode verwenden. AWS CLI 

## Zertifikatsdetails anzeigen
<a name="describe-a-certificate-ldap-client-side"></a>

Nutzen Sie eines der folgenden Verfahren, um zu sehen, wann ein Zertifikat abläuft.

**Methode 1: Um die Zertifikatsdetails in Directory Service (AWS-Managementkonsole) anzuzeigen**

1. Wählen Sie im Navigationsbereich der [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) **Verzeichnisse**.

1. Klicken Sie auf den Verzeichnis-ID-Link für Ihr Verzeichnis.

1. Wählen Sie auf der Seite **Directory details (Verzeichnisdetails)** die Registerkarte **Networking & security (Netzwerk & Sicherheit)** aus.

1. Im Abschnitt **Client-side LDAPS (Clientseitiges LDAPS)** werden unter **CA certificates (CA-Zertifikate)** Informationen zum Zertifikat angezeigt.

**Methode 2: So zeigen Sie die Zertifikatsdetails in Directory Service (AWS CLI) an**
+ Führen Sie den folgenden Befehl aus. Verwenden Sie für die Zertifikat-ID den von `register-certificate` oder `list-certificates` zurückgegebenen Bezeichner. 

  ```
  aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
  ```

## Ein Zertifikat abmelden
<a name="dergister-a-certificate-ldap-client-side"></a>

Nutzen Sie eines der folgenden Verfahren, um ein Zertifikat abzumelden.

**Anmerkung**  
Wenn nur ein Zertifikat registriert ist, müssen Sie zuerst LDAPS deaktivieren, bevor Sie das Zertifikat abmelden können.

**Methode 1: Um die Registrierung eines Zertifikats in Directory Service () aufzuheben AWS-Managementkonsole**

1. Wählen Sie im Navigationsbereich der [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) **Verzeichnisse**.

1. Klicken Sie auf den Verzeichnis-ID-Link für Ihr Verzeichnis.

1. Wählen Sie auf der Seite **Directory details (Verzeichnisdetails)** die Registerkarte **Networking & security (Netzwerk & Sicherheit)** aus.

1. Wählen Sie im Abschnitt **Client-side LDAPS (Clientseitiges LDAPS)** die Option **Actions (Aktionen)** und klicken Sie dann auf **Deregister certificate (Zertifikat abmelden)**.

1. Wählen Sie im Dialogfeld **Deregister a CA certificate (Ein CA-Zertifikat abmelden)** die Option **Deregister (Abmelden)**.

**Methode 2: Um die Registrierung eines Zertifikats in () aufzuheben Directory Service AWS CLI**
+ Führen Sie den folgenden Befehl aus. Verwenden Sie für die Zertifikat-ID den von `register-certificate` oder `list-certificates` zurückgegebenen Bezeichner. 

  ```
  aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
  ```

## Clientseitiges LDAPS deaktivieren
<a name="disable-client-side-ldaps"></a>

Nutzen Sie eines der folgenden Verfahren, um clientseitiges LDAPS zu deaktivieren.

**Methode 1: Um das clientseitige LDAPS in () zu deaktivieren Directory Service AWS-Managementkonsole**

1. Wählen Sie im Navigationsbereich der [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) **Verzeichnisse**.

1. Klicken Sie auf den Verzeichnis-ID-Link für Ihr Verzeichnis.

1. Wählen Sie auf der Seite **Directory details (Verzeichnisdetails)** die Registerkarte **Networking & security (Netzwerk & Sicherheit)** aus.

1. Wählen Sie im Abschnitt **Client-side LDAPS (Clientseitiges LDAPS)** die Option **Disable (Deaktivieren)** aus.

1. Klicken Sie im Dialogfeld **Disable client-side LDAPS (Clientseitiges LDAPS deaktivieren)** auf **Disable (Deaktivieren)**.

**Methode 2: Um clientseitiges LDAPS in () zu deaktivieren Directory Service AWS CLI**
+ Führen Sie den folgenden Befehl aus.

  ```
  aws ds disable-ldaps --directory-id your_directory_id --type Client
  ```