Serverseitiges LDAPS mit AWS Managed Microsoft AD aktivieren - AWS Directory Service
Aktivieren Sie serverseitiges LDAPS mit AWS Private Certificate AuthorityAktivieren Sie serverseitiges LDAPS mithilfe von CA Microsoft

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serverseitiges LDAPS mit AWS Managed Microsoft AD aktivieren

Die serverseitige Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) Unterstützung verschlüsselt die LDAP Kommunikation zwischen Ihren kommerziellen oder selbst entwickelten Anwendungen und Ihrem LDAP AWS verwalteten Microsoft AD-Verzeichnis. Dies trägt dazu bei, die Sicherheit im gesamten Netzwerk zu verbessern und die Compliance-Anforderungen mithilfe des kryptografischen Protokolls zu erfüllen. Secure Sockets Layer (SSL)

Aktivieren Sie serverseitiges LDAPS mit AWS Private Certificate Authority

Ausführliche Anweisungen zur Einrichtung und Konfiguration serverseitiger LDAPS und Ihres CA-Servers (Certificate Authority) finden Sie unter AWS Private CA. AWS Private CA Connector für AD für AWS Managed Microsoft AD einrichten

Aktivieren Sie serverseitiges LDAPS mithilfe von CA Microsoft

Ausführliche Anweisungen zur Einrichtung und Konfiguration serverseitiger LDAPS und Ihres Zertifizierungsstellenservers (CA) finden Sie unter So aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis im Sicherheitsblog. AWS

Sie müssen den Großteil der Einrichtung von der EC2 Amazon-Instance aus vornehmen, mit der Sie Ihre AWS verwalteten Microsoft AD-Domain-Controller verwalten. Die folgenden Schritte führen Sie durch die Aktivierung von LDAPS für Ihre Domain in der AWS Cloud.

Wenn Sie Ihre PKI Infrastruktur mithilfe von Automatisierung einrichten möchten, können Sie die MicrosoftPublic Key Infrastructure auf AWS QuickStart Guide verwenden. Insbesondere sollten Sie den Anweisungen in der Anleitung folgen, um die Vorlage für Deploy MicrosoftPKI in eine bestehende VPC zu laden AWS. Stellen Sie nach dem Laden der Vorlage sicher, dass Sie AWSManaged auswählen, wenn Sie zur Option Typ der Active-Directory-Domainservices gelangen. Wenn Sie die QuickStart Anleitung verwendet haben, können Sie direkt zu dieser wechselnSchritt 3: Eine Zertifikatvorlage erstellen.

Schritt 1: Delegieren, wer LDAPS aktivieren kann

Um serverseitiges LDAPS zu aktivieren, müssen Sie Mitglied der Gruppe Admins oder AWS Delegated Enterprise Certificate Authority Administrators in Ihrem AWS verwalteten Microsoft AD-Verzeichnis sein. Alternativ können Sie der standardmäßige Administratorbenutzer sein (Admin-Konto). Wenn Sie möchten, können Sie einen anderen Benutzer als das Admin-Konto dazu veranlassen, LDAPS einzurichten. In diesem Fall fügen Sie diesen Benutzer der Gruppe Admins oder AWS Delegated Enterprise Certificate Authority Administrators in Ihrem AWS Managed Microsoft AD-Verzeichnis hinzu.

Schritt 2: Ihre Zertifizierungsstelle einrichten

Bevor Sie serverseitiges LDAPS aktivieren können, müssen Sie ein Zertifikat erstellen. Dieses Zertifikat muss von einem Microsoft Enterprise CA Server ausgestellt werden, der mit Ihrer AWS verwalteten Microsoft AD-Domäne verbunden ist. Nachdem das Zertifikat erstellt wurde, muss es auf jedem Ihrer Domain-Controller in dieser Domain installiert werden. Mit diesem Zertifikat kann der LDAP Dienst auf den Domänencontrollern auf SSL Verbindungen von LDAP Clients warten und diese automatisch akzeptieren.

Anmerkung

Serverseitiges LDAPS mit AWS Managed Microsoft AD unterstützt keine Zertifikate, die von einer eigenständigen Zertifizierungsstelle ausgestellt wurden. Darüber hinaus unterstützt es keine Zertifikate von einer Drittanbieter-Zertifizierungsstelle.

Abhängig von Ihren geschäftlichen Anforderungen können Sie die folgenden Optionen für das Einrichten oder Herstellen einer Verbindung mit einer Zertifizierungsstelle in Ihrer Domain haben:

  • Einen untergeordneten Server erstellen Microsoft Enterprise CA — (empfohlen) Mit dieser Option können Sie einen untergeordneten Microsoft Enterprise CA Server in der Cloud bereitstellen. AWS Der Server kann Amazon verwenden, EC2 sodass er mit Ihrer vorhandenen Microsoft Root-CA funktioniert. Weitere Informationen zum Einrichten eines untergeordneten Microsoft Enterprise CA Verzeichnisses finden Sie unter Schritt 4: Hinzufügen eines Microsoft Enterprise CA zu Ihrem AWS Microsoft AD Verzeichnis in So aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis.

  • Root erstellen Microsoft Enterprise CA — Mit dieser Option können Sie mit Amazon einen Root Microsoft Enterprise CA in der AWS Cloud erstellen EC2 und ihn mit Ihrer AWS verwalteten Microsoft AD-Domain verbinden. Diese Root-Zertifizierungsstelle kann das Zertifikat für Ihren Domain-Controller ausstellen. Weitere Informationen zum Einrichten einer neuen Stammzertifizierungsstelle finden Sie unter Schritt 3: Installieren und Konfigurieren einer Offline-Zertifizierungsstelle unter So aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis.

Weitere Informationen darüber, wie Sie Ihre EC2 Instanz mit der Domain verbinden, finden Sie unter. Möglichkeiten, eine EC2 Amazon-Instance mit Ihrem AWS Managed Microsoft AD zu verbinden

Schritt 3: Eine Zertifikatvorlage erstellen

Nachdem Ihre eingerichtet Enterprise CA wurde, können Sie die Vorlage für das Kerberos Authentifizierungszertifikat konfigurieren.

Erstellen einer Zertifikatvorlage

  1. Starten Sie Microsoft Windows Server Manager. Wählen Sie Tools > Zertifizierungsstelle aus.

  2. Erweitern Sie im Fenster Zertifizierungsstelle die Zertifizierungsstellenstruktur im linken Fensterbereich. Klicken Sie mit der rechten Maustaste auf Zertifikatsvorlagen und wählen Sie Verwalten.

  3. Klicken Sie im Fenster Konsole für Zertifikatsvorlagen mit der rechten Maustaste auf Kerberos-Authentifizierung und wählen Sie Vorlage duplizieren.

  4. Das Fenster Eigenschaften der neuen Vorlage wird geöffnet.

  5. Gehen Sie im Fenster Eigenschaften der neuen Vorlage zur Registerkarte Kompatibilität und gehen Sie dann wie folgt vor:

    1. Ändern Sie die Zertifizierungsstelle auf die ZertifizierungsstelleOS, die Ihrer Zertifizierungsstelle entspricht.

    2. Wenn ein Fenster mit den resultierenden Änderungen angezeigt wird, wählen Sie OK aus.

    3. Ändern Sie den Zertifizierungsempfänger auf Windows 10/Windows Server 2016.

      Anmerkung

      AWS Managed Microsoft AD wird unterstützt vonWindows Server 2019.

    4. Wenn Fenster mit den resultierenden Änderungen angezeigt werden, wählen Sie OK aus.

  6. Klicken Sie auf die Registerkarte Allgemein und ändern Sie den Anzeigenamen der Vorlage in LDAPOverSSL oder einen anderen Namen, den Sie bevorzugen.

  7. Klicken Sie auf die Registerkarte Sicherheit und wählen Sie Domain-Controller im Abschnitt Gruppen- oder Benutzernamen. Vergewissern Sie sich im Abschnitt Berechtigungen für Domain-Controller, dass die Kontrollkästchen Lesen, Registrieren und Auto-Registrierung aktiviert sind.

  8. Wählen Sie OK, um die LDAPOverSSL-Zertifikatsvorlage (oder den oben angegebenen Namen) zu erstellen. Schließen Sie das Fenster der Zertifikatsvorlagen-Konsole.

  9. Klicken Sie im Fenster Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatsvorlagen und wählen Sie Neu > Zertifikatsvorlage zum Ausstellen.

  10. Wählen Sie im Fenster Zertifikatsvorlagen aktivieren die Option LDAPOverSSL (oder den Namen, den Sie oben angegeben haben) und dann OK aus.

Schritt 4: Sicherheitsgruppenregeln hinzufügen

Im letzten Schritt müssen Sie die EC2 Amazon-Konsole öffnen und Sicherheitsgruppenregeln hinzufügen. Diese Regeln ermöglichen es Ihren Domain-Controllern, eine Verbindung zu Ihnen herzustellenEnterprise CA, um ein Zertifikat anzufordern. Dazu fügen Sie Regeln für eingehenden Datenverkehr hinzu, sodass Sie eingehenden Datenverkehr von Ihren Domänencontrollern akzeptieren Enterprise CA können. Anschließend fügen Sie Regeln für ausgehenden Datenverkehr hinzu, um den Datenverkehr von Ihren Domänencontrollern zum zuzulassen. Enterprise CA

Sobald beide Regeln konfiguriert wurden, fordern Ihre Domänencontroller Enterprise CA automatisch ein Zertifikat von Ihnen an und aktivieren LDAPS für Ihr Verzeichnis. Der LDAP Dienst auf Ihren Domänencontrollern ist jetzt bereit, LDAPS-Verbindungen zu akzeptieren.

Konfigurieren von Sicherheitsgruppenregeln

  1. Navigieren Sie zu Ihrer EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2 und melden Sie sich mit Administratoranmeldedaten an.

  2. Wählen Sie links die Option Security Groups unter Network & Security.

  3. Wählen Sie im Hauptbereich die AWS Sicherheitsgruppe für Ihre CA aus.

  4. Wählen Sie die Registerkarte Inbound (Eingehend) und anschließend Edit (Bearbeiten) aus.

  5. Führen Sie im Dialogfeld Edit inbound rules die folgenden Schritte aus:

    • Klicken Sie auf Add Rule (Regel hinzufügen).

    • Wählen Sie All traffic für Type und Custom für Source.

    • Geben Sie die AWS Sicherheitsgruppe (z. B.sg-123456789) für Ihr Verzeichnis in das Feld neben Quelle ein.

    • Wählen Sie Speichern.

  6. Wählen Sie nun die AWS Sicherheitsgruppe Ihres AWS Managed Microsoft AD-Verzeichnisses aus. Wählen Sie die Registerkarte Outbound und anschließend Edit.

  7. Führen Sie im Dialogfeld Edit outbound rules die folgenden Schritte aus:

    • Klicken Sie auf Add Rule (Regel hinzufügen).

    • Wählen Sie All traffic für Type und Custom für Destination.

    • Geben Sie die AWS Sicherheitsgruppe für Ihre CA in das Feld neben Ziel ein.

    • Wählen Sie Speichern.

Mit dem LDP Tool können Sie die LDAPS-Verbindung zum AWS Managed Microsoft AD-Verzeichnis testen. Das LDP Tool wird mit dem Active Directory Administrative Tools geliefert. Weitere Informationen finden Sie unter Installation der Active Directory-Verwaltungstools für AWS verwaltetes Microsoft AD.

Anmerkung

Bevor Sie die LDAPS-Verbindung testen, müssen Sie bis zu 30 Minuten warten, bis die untergeordnete Zertifizierungsstelle ein Zertifikat für Ihre Domain-Controller ausgestellt hat.

Weitere Informationen zu serverseitigen LDAPS und ein Anwendungsbeispiel für die Einrichtung finden Sie unter So aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis im Sicherheitsblog. AWS