翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AD Connector を使用してクライアント側の LDAPS を有効にする
<a name="ad_connector_ldap_client_side"></a>

AD Connector でのクライアント側の LDAPS サポートは、MicrosoftActive Directory (AD) と AWS アプリケーション間の通信を暗号化します。このようなアプリケーションの例には、WorkSpaces AWS IAM アイデンティティセンター、、Quick、Amazon Chime などがあります。この暗号化により、組織の ID データの保護を強化し、セキュリティ要件を満たすことができます。

クライアント側の LDAPS の登録を解除したり、無効にしたりすることもできます。

**Topics**
+ [前提条件](#prereqs-ldap-client-side)
+ [クライアント側の LDAPS の有効化](#enable-ldap-client-side)
+ [クライアント側の LDAPS を管理する](manage-ldap-client-side.md)

## 前提条件
<a name="prereqs-ldap-client-side"></a>

クライアント側 LDAPS を有効にする前に、次の要件を満たす必要があります。

**Topics**
+ [Active Directory にサーバー証明書をデプロイする](#deploy_server_certs_ldap_client_side)
+ [CA 証明書の要件](#cert_requirements_ldap_client_side)
+ [ネットワーク要件](#networking_requirements_ldap_client_side)

### Active Directory にサーバー証明書をデプロイする
<a name="deploy_server_certs_ldap_client_side"></a>

クライアント側の LDAPS を有効にするには、Active Directory 内のドメインコントローラーごとに、サーバー証明書を取得しインストールする必要があります。これらの証明書は、LDAP サービスが LDAP クライアントからの SSL 接続をリッスンして自動的に承認するために使用されます。SSL 証明書は、社内の Active Directory 証明書サービス (ADCS) のデプロイから発行されたもの、または商用発行者から購入したものを使用できます。Active Directory サーバー証明書の要件の詳細については、Microsoft のウェブサイト「[LDAP over SSL (LDAPS) Certificate](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx)」(LDAP over SSL (LDAPS) 証明書) を参照してください。

### CA 証明書の要件
<a name="cert_requirements_ldap_client_side"></a>

クライアント側 LDAPS のオペレーションには、サーバー証明書の発行元を表す認証機関 (CA) 証明書が必要です。LDAP 通信を暗号化するために、CA 証明書は、Active Directory のドメインコントローラーから提示されるサーバー証明書と照合されます。次の CA 証明書の要件に注意してください。
+  証明書を登録するには、有効期限までに 90 日超の期間があることが必要です。
+ 証明書は、プライバシー強化メール (PEM) 形式である必要がありす。Active Directory 内から CA 証明書をエクスポートする場合は、そのファイル形式として Base64 でエンコードされた X.509 (.CER) を選択します。
+ AD Connector ディレクトリごとに最大 5 個の CA 証明書を保存できます。
+ RSASSA-PSS 署名アルゴリズムを使用する証明書はサポートされていません。

### ネットワーク要件
<a name="networking_requirements_ldap_client_side"></a>

AWS アプリケーション LDAP トラフィックは TCP ポート 636 でのみ実行され、LDAP ポート 389 へのフォールバックはありません。ただし、レプリケーション、信頼などをサポートする Windows LDAP 通信は、Windows ネイティブセキュリティを備えた LDAP ポート 389 を引き続き使用します。AD Connector (アウトバウンド) とセルフマネージド Active Directory (インバウンド) のポート 636 で TCP 通信を許可するように AWS セキュリティグループとネットワークファイアウォールを設定します。

## クライアント側の LDAPS の有効化
<a name="enable-ldap-client-side"></a>

クライアント側 LDAPS を有効にするには、認証機関 (CA) 証明書を AD Connector にインポートし、ディレクトリで LDAPS を有効にします。有効にすると、 AWS アプリケーションとセルフマネージド Active Directory 間のすべての LDAP トラフィックが Secure Sockets Layer (SSL) チャネル暗号化で流れます。

2 つの異なる方法を使用して、ディレクトリのクライアント側 LDAPS を有効にできます。 AWS マネジメントコンソール メソッドまたは AWS CLI メソッドを使用できます。

### での証明書の登録 Directory Service
<a name="step1-register-cert-ldap-client-side"></a>

証明書を登録するには、次のいずれかの方法を使用します Directory Service。

**方法 1: 証明書を Directory Service (AWS マネジメントコンソール) に登録するには**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。

1. ディレクトリのディレクトリ ID リンクを選択します。

1. **[Directory details]** (ディレクトリの詳細) ページで、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。

1. **[Client-side LDAPS]** (クライアント側 LDAPS) セクションで、**[Actions]** (アクション) メニューを選択してから、**[Register certificate]** (証明書の登録) を選択します。

1. **[Register a CA certificate]** (CA 証明書を登録する) ダイアログボックスで **[Browse]** (参照) をクリックしてから、証明書を選択し、**[Open]** (開く) をクリックします。

1. **[Register certificate]** (証明書の登録) を選択します。

**方法 2: 証明書を Directory Service (AWS CLI) に登録するには**
+ 以下のコマンドを実行してください。証明書データについては、CA 証明書ファイルの場所を指定します。証明書 ID がレスポンスとして提供されます。

  ```
  aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
  ```

### 登録のステータスを確認する
<a name="step2-check-registration-status-ldap-client-side"></a>

証明書登録のステータスまたは登録済み証明書のリストを表示するには、次のいずれかの方法を使用します。

**方法 1: ( Directory Service AWS マネジメントコンソール) で証明書の登録ステータスを確認するには**

1. **[Directory details]** (ディレクトリの詳細) ページの **[Client-side LDAPS]** (クライアント側 LDAPS) セクションに移動します。

1. **[Registration status]** (登録ステータス) 列に表示される現在の証明書登録状態を確認します。登録ステータスの値が **[Registered]** (登録済み) に変わると、証明書は正常に登録されています。

**方法 2: ( Directory Service AWS CLI) で証明書の登録ステータスを確認するには**
+ 次のコマンドを実行します。ステータス値として `Registered` が返される場合、証明書は正常に登録されています。

  ```
  aws ds list-certificates --directory-id your_directory_id
  ```

### クライアント側の LDAPS を有効にする
<a name="step3-enable-ldap-client-side"></a>

でクライアント側の LDAPS を有効にするには、次のいずれかの方法を使用します Directory Service。

**注記**  
クライアント側 LDAPS を有効にするには、1 つ以上の証明書が正常に登録されている必要があります。

**方法 1: Directory Service (AWS マネジメントコンソール) でクライアント側の LDAPS を有効にするには**

1. **[Directory details]** (ディレクトリの詳細) ページの **[Client-side LDAPS]** (クライアント側 LDAPS) セクションに移動します。

1. **[Enable]** (有効化) を選択します。このオプションを使用できない場合は、有効な証明書が正常に登録されていることを確認してから、もう一度やり直してください。

1. **[Enable client-side LDAPS]** (クライアント側 LDAPS を有効にする) ダイアログボックスで、**[Enable]** (有効化) を選択します。

**方法 2: Directory Service (AWS CLI) でクライアント側の LDAPS を有効にするには**
+ 以下のコマンドを実行してください。

  ```
  aws ds enable-ldaps --directory-id your_directory_id --type Client
  ```

### LDAPS ステータスを確認する
<a name="step4-check-status-ldap-client-side"></a>

LDAPS ステータスを確認するには、次のいずれかの方法を使用します Directory Service。

**方法 1: LDAPS ステータスを確認するには Directory Service (AWS マネジメントコンソール)**

1. **[Directory details]** (ディレクトリの詳細) ページの **[Client-side LDAPS]** (クライアント側 LDAPS) セクションに移動します。

1. ステータス値が **[Enabled]** (有効) と表示されている場合、LDAPS は正常に設定されています。

**方法 2: LDAPS ステータスを確認するには Directory Service (AWS CLI)**
+ 以下のコマンドを実行してください。ステータス値として `Enabled` が返される場合、LDAPS は正常に設定されています。

  ```
  aws ds describe-ldaps-settings –directory-id your_directory_id
  ```

クライアント側の LDAPS 証明書の表示、LDAPS 証明書の登録解除または無効化の詳細については、「[クライアント側の LDAPS を管理する](manage-ldap-client-side.md)」を参照してください。