기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 보안 LDAP 또는 LDAPS 활성화
<a name="ms_ad_ldap"></a>

LDAP(Lightweight Directory Access Protocol)는 Active Directory에서 데이터를 읽고 쓰는 데 사용되는 표준 통신 프로토콜입니다. 일부 애플리케이션은 LDAP를 사용하여 Active Directory에서 사용자 및 그룹을 추가, 제거 또는 검색하거나 Active Directory에서 사용자를 인증하기 위한 자격 증명을 전송합니다. 모든 LDAP 통신에는 클라이언트(예: 애플리케이션)와 서버(예: Active Directory)가 포함됩니다.

기본적으로 LDAP를 통한 통신은 암호화되지 않습니다. 그러므로 악성 사용자가 네트워크 모니터링 소프트웨어를 사용하여 유선으로 전송되는 데이터 패킷을 볼 수 있습니다. 이 때문에 일반적으로 많은 기업 보안 정책은 조직이 모든 LDAP 통신을 암호화하도록 요구하고 있습니다.

이러한 형태의 데이터 노출을 완화하기 위해 AWS 관리형 Microsoft AD는 옵션을 제공합니다. 즉, LDAPS라고도 하는 SSL(Secure Sockets Layer)/TLS(Transport Layer Security)를 통해 LDAP를 활성화할 수 있습니다. LDAPS를 사용하면 유선 보안을 개선할 수 있습니다. LDAP 지원 애플리케이션과 AWS Managed Microsoft AD 간의 모든 통신을 암호화하여 규정 준수 요구 사항을 충족할 수도 있습니다.

AWS 관리형 Microsoft AD는 다음과 같은 배포 시나리오에서 LDAPS를 지원합니다.
+ **서버 측 LDAPS**는 상업용 또는 자체적인 LDAP 인식 애플리케이션(LDAP 클라이언트 역할)과 AWS Managed Microsoft AD(LDAP 서버 역할) 간의 LDAP 통신을 암호화합니다. 자세한 내용은 [AWS 관리형 Microsoft AD를 사용하여 서버 측 LDAPS 활성화](ms_ad_ldap_server_side.md) 단원을 참조하십시오.
+ **클라이언트 측 LDAPS**는 WorkSpaces와 같은 AWS 애플리케이션(LDAP 클라이언트 역할)과 자체 관리형(on-premises) Active Directory(LDAP 서버 역할) 간의 LDAP 통신을 암호화합니다. 자세한 내용은 [AWS 관리형 Microsoft AD를 사용하여 클라이언트 측 LDAPS 활성화](ms_ad_ldap_client_side.md) 단원을 참조하십시오.

Microsoft Active Directory Certificate Services 구현 보안 관련 모범 사례에 대한 자세한 내용은 [Microsoft 설명서를](https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-prevent-users-request-certificate) 참조하세요.

**Topics**
+ [AWS 관리형 Microsoft AD를 사용하여 서버 측 LDAPS 활성화](ms_ad_ldap_server_side.md)
+ [AWS 관리형 Microsoft AD를 사용하여 클라이언트 측 LDAPS 활성화](ms_ad_ldap_client_side.md)

# AWS 관리형 Microsoft AD를 사용하여 서버 측 LDAPS 활성화
<a name="ms_ad_ldap_server_side"></a>

서버 측 Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) 지원은 상용 또는 자체 개발 LDAP인식 애플리케이션과 AWS Managed Microsoft AD 디렉터리 간의 LDAP 통신을 암호화합니다. 이렇게 하면 Secure Sockets Layer (SSL) 암호화 프로토콜을 사용하여 유선 보안을 개선하고 규정 준수 요구 사항을 충족할 수 있습니다.

## 를 사용하여 서버 측 LDAPS 활성화 AWS Private Certificate Authority
<a name="enableserversideldaps_pca"></a>

를 사용하여 서버 측 LDAPS 및 인증 기관(CA) 서버를 설정하고 구성하는 방법에 대한 자세한 지침은 섹션을 AWS Private CA참조하세요[AWS 관리형 Microsoft AD용 AD용 AWS Private CA 커넥터 설정](ms_ad_pca_connector.md).

## Microsoft CA를 사용하여 서버 측 LDAPS 활성화
<a name="enableserversideldaps_msca"></a>

서버 측 LDAPS 및 인증 기관(CA) 서버를 설정하고 구성하는 방법에 대한 자세한 지침은 AWS 보안 블로그의 [AWS 관리형 Microsoft AD 디렉터리에 대해 서버 측 LDAPS를 활성화하는 방법을 참조하세요](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).

대부분의 설정은 AWS Managed Microsoft AD 도메인 컨트롤러를 관리하는 데 사용하는 Amazon EC2 인스턴스로부터 수행해야 합니다. 다음 단계에서는 AWS 클라우드내 도메인에 대해 LDAPS를 활성화하는 절차를 안내합니다.

자동화를 사용하여 PKI 인프라를 설정하려면 [Microsoft Public Key Infrastructure on AWS QuickStart 가이드를](https://aws.amazon.com/quickstart/architecture/microsoft-pki/) 사용할 수 있습니다. 특히 안내서의 지침에 따라 [AWS의 기존 VPC에 MicrosoftPKI 배포](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps)를 위한 템플릿을 로드하는 것이 좋습니다. 템플릿을 로드한 후에는 **Active Directory 도메인 서비스 유형** 옵션으로 이동하면 **`AWSManaged`**를 선택해야 합니다. 빠른 시작 안내서를 사용한 경우 바로 [3단계: 인증서 템플릿 생성](#createcustomcert)로 이동할 수 있습니다.

**Topics**
+ [1단계: LDAPS를 활성화할 수 있는 사용자 위임](#grantpermsldaps)
+ [2단계: 인증 기관 설정](#setupca)
+ [3단계: 인증서 템플릿 생성](#createcustomcert)
+ [4단계: 보안 그룹 규칙 추가](#addgrouprules)

### 1단계: LDAPS를 활성화할 수 있는 사용자 위임
<a name="grantpermsldaps"></a>

서버 측 LDAPS를 활성화하려면 AWS 관리형 Microsoft AD 디렉터리의 관리자 또는 AWS 위임된 엔터프라이즈 인증 기관 관리자 그룹의 멤버여야 합니다. 또는 기본 관리 사용자(관리자 계정)여야 합니다. 원하는 경우 관리자 계정 설정 LDAPS 이외의 사용자가 있을 수 있습니다. 이 경우 AWS 관리형 Microsoft AD 디렉터리의 관리자 또는 AWS 위임된 엔터프라이즈 인증 기관 관리자 그룹에 해당 사용자를 추가합니다.

### 2단계: 인증 기관 설정
<a name="setupca"></a>

서버 측 LDAPS를 활성화하려면 먼저 인증서를 만들어야 합니다. 이 인증서는 AWS Managed Microsoft AD 도메인에 조인된 Microsoft Enterprise CA 서버에서 발급한 인증서여야 합니다. 생성된 인증서는 해당 도메인의 각 도메인 컨트롤러에 설치해야 합니다. 이 인증서는 도메인 컨트롤러 상의 LDAP 서비스가 LDAP 클라이언트로부터 SSL 연결을 수신하고 자동으로 수락하도록 허용합니다.

**참고**  
 AWS 관리형 Microsoft AD를 사용하는 서버 측 LDAPS는 독립 실행형 CA에서 발급한 인증서를 지원하지 않습니다. 타사 인증 기관에서 발급한 인증서도 지원하지 않습니다.

비즈니스 필요에 따라 다음과 같이 도메인에서 CA를 설정 또는 연결할 수 있는 옵션이 있습니다.
+ **하위 항목 생성 Microsoft Enterprise CA** - (권장)이 옵션을 사용하면 AWS 클라우드에 하위 Microsoft Enterprise CA 서버를 배포할 수 있습니다. 서버에서는 Amazon EC2를 사용하므로 기존 루트 Microsoft CA로 작업할 수 있습니다. 하위 Microsoft를 설정하는 방법에 대한 자세한 내용은 관리형 Microsoft AD ** AD 디렉터리MicrosoftEnterprise CA에 AWS Microsoft 서버 측 LDAPS를 활성화하는 방법의 4단계:** 디렉터리에 추가를 Enterprise CA참조하세요. [AWS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) 
+ **루트 생성 Microsoft Enterprise CA** -이 옵션을 사용하면 Amazon EC2를 사용하여 AWS 클라우드MicrosoftEnterprise CA에서 루트를 생성하고 AWS 관리형 Microsoft AD 도메인에 조인할 수 있습니다. 이 루트 CA는 도메인 컨트롤러에 인증서를 발급합니다. 새 루트 CA 설정에 대한 자세한 내용은 관리형 Microsoft AD 디렉터리에 서버 측 LDAPS를 활성화하는 방법의 **3단계: 오프라인 CA 설치 및 구성을** 참조하세요. [AWS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) 

EC2 인스턴스를 도메인에 조인하는 방법에 대한 자세한 내용은 [Amazon EC2 인스턴스를 AWS 관리형 Microsoft AD에 조인하는 방법](ms_ad_join_instance.md) 단원을 참조하세요.

### 3단계: 인증서 템플릿 생성
<a name="createcustomcert"></a>

Enterprise CA를 설정한 후 Kerberos 인증 인증서 템플릿을 구성할 수 있습니다.

**인증서 템플릿을 생성하려면**

1. **Microsoft Windows Server Manager**를 시작합니다. **도구 > 인증 기관**을 선택합니다.

1. **인증 기관** 창에서 왼쪽 창의 **인증 기관** 트리를 확장합니다. **Certificate Templates**를 마우스 오른쪽 버튼으로 클릭하고 **Manage**를 선택합니다.

1. **Certificate Templates Console** 창에서 **Kerberos Authentication**을 마우스 오른쪽 버튼으로 클릭하고 **Duplicate Template**을 선택합니다.

1. **새 템플릿의 속성** 창이 나타납니다.

1. **새 템플릿 속성** 창에서 **호환성** 탭으로 이동한 후 다음을 수행합니다.

   1. **인증 기관**을 CA와 일치하는 OS로 변경합니다.

   1. **변경 결과** 창이 나타나면 **확인**을 선택합니다.

   1. **인증 수신자**를 **Windows 10/Windows Server 2016**으로 변경합니다.
**참고**  
AWS 관리형 Microsoft AD는 로 구동됩니다Windows Server 2019.

   1. **변경 결과** 창이 나타나면 **확인**을 선택합니다.

1. **일반** 탭을 클릭하고 **템플릿 표시 이름**을 **LDApoverssl** 또는 원하는 다른 이름으로 변경합니다.

1. **보안** 탭을 클릭하고 **그룹 또는 사용자 이름** 섹션에서 **도메인 컨트롤러**를 선택합니다. **도메인 컨트롤러에 대한 권한** 섹션에서 **읽기**, **등록**, **자동 등록**에 대한 **허용** 확인란이 선택되어 있는지 확인합니다.

1. **확인**을 선택하여 **LDApoverSSL**(또는 앞서 지정한 이름) 인증서 템플릿을 생성합니다. **인증서 템플릿 콘솔** 창을 닫습니다.

1. **Certificate Authority** 창에서 **Certificate Templates**를 마우스 오른쪽 버튼으로 클릭하고 **New > Certificate Template to Issue**를 선택합니다.

1. **인증서 템플릿 사용** 창에서 **LDApoverSL**(또는 앞서 지정한 이름)을 선택한 다음 **확인**을 선택합니다.

### 4단계: 보안 그룹 규칙 추가
<a name="addgrouprules"></a>

마지막 단계에서 Amazon EC2 콘솔을 열고 보안 그룹 규칙을 추가해야 합니다. 이러한 규칙을 사용하면 도메인 컨트롤러가 Enterprise CA에 연결하여 인증서를 요청할 수 있습니다. 이렇게 하려면 Enterprise CA가 도메인 컨트롤러로부터 수신 트래픽을 수락할 수 있도록 인바운드 규칙을 추가합니다. 그런 다음 아웃바운드 규칙을 추가하여 도메인 컨트롤러에서 Enterprise CA로 가는 트래픽을 허용합니다.

두 규칙이 모두 구성되면 도메인 컨트롤러가 자동으로 Enterprise CA에 인증서를 요청하고 디렉터리에 대해 LDAPS를 활성화합니다. 이제 도메인 컨트롤러의 LDAP 서비스가 LDAPS 연결을 수락할 준비를 마쳤습니다.

**보안 그룹 규칙을 구성하려면**

1. Amazon EC2 콘솔 [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2)로 이동하여 관리자 보안 인증 정보로 로그인합니다.

1. 탐색 창의 **Network & Security**에서 **Security Groups**를 선택합니다.

1. 기본 창에서 CA의 AWS 보안 그룹을 선택합니다.

1. **인바운드(Inbound)** 탭을 선택한 후 **편집(Edit)**을 선택합니다.

1. [**Edit inbound rules**] 대화 상자에서 다음을 수행합니다.
   + **규칙 추가(Add Rule)**를 선택합니다.
   + **유형**에서 **모든 트래픽**을 선택하고 **소스**로 **사용자 지정**을 선택합니다.
   + **소스** 옆의 상자에 디렉터리의 AWS 보안 그룹(예: `sg-123456789`)을 입력합니다.
   + **저장**을 선택합니다.

1. 이제 AWS 관리형 Microsoft AD 디렉터리의 AWS 보안 그룹을 선택합니다. [**Outbound**] 탭을 선택하고 [**Edit**]를 선택합니다.

1. [**Edit outbound rules**] 대화 상자에서 다음을 수행합니다.
   + **규칙 추가(Add Rule)**를 선택합니다.
   + **유형**에서 **모든 트래픽**을 선택하고 **대상**에서 **사용자 지정**을 선택합니다.
   + **대상** 옆의 상자에 CA의 AWS 보안 그룹을 입력합니다.
   + **저장**을 선택합니다.

LDP 도구를 사용하여 AWS 관리형 Microsoft AD 디렉터리에 대한 LDAPS 연결을 테스트할 수 있습니다. 이 LDP 도구는 Active Directory Administrative Tools와 함께 제공됩니다. 자세한 내용은 [AWS 관리형 Microsoft AD용 Active Directory 관리 도구 설치](ms_ad_install_ad_tools.md) 단원을 참조하십시오.

**참고**  
LDAPS 연결을 테스트하기 전에 하위 CA가 도메인 컨트롤러에 인증서를 발급할 때까지 최대 30분간 기다려야 합니다.

서버 측 LDAPS에 대한 자세한 내용과 설정 방법에 대한 사용 사례 예제를 보려면 AWS 보안 블로그의 [AWS 관리형 Microsoft AD 디렉터리에 서버 측 LDAPS를 활성화하는 방법을 참조하세요](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).

# AWS 관리형 Microsoft AD를 사용하여 클라이언트 측 LDAPS 활성화
<a name="ms_ad_ldap_client_side"></a>

 AWS 관리형 Microsoft AD의 클라이언트 측 Lightweight Directory Access Protocol Secure Sockets Layer(SSL)/전송 계층 보안(TLS)(LDAPS) 지원은 자체 관리형(온프레미스) Microsoft Active Directory(AD)와 AWS 애플리케이션 간의 통신을 암호화합니다. 이러한 애플리케이션의 예로는 WorkSpaces, AWS IAM Identity Center, Quick 및 Amazon Chime이 있습니다. 이 암호화를 통해 조직의 자격 증명 데이터에 대한 보안을 강화하고 보안 요구 사항을 충족할 수 있습니다.

## 사전 조건
<a name="ldap_client_side_prerequisites"></a>

클라이언트 측 LDAPS를 활성화하려면 먼저 다음 요구 사항을 충족해야 합니다.

**Topics**
+ [AWS 관리형 Microsoft AD와 자체 관리형 Microsoft Active Directory 간에 신뢰 관계 생성](#trust_relationship_MAD_and_self_managed)
+ [Active Directory에 서버 인증서 배포](#ldap_client_side_deploy_server_certs)
+ [인증 기관 인증서 요구 사항](#ldap_client_side_get_certs_ready)
+ [네트워킹 요구 사항](#ldap_client_side_considerations_enabling)

### AWS 관리형 Microsoft AD와 자체 관리형 Microsoft Active Directory 간에 신뢰 관계 생성
<a name="trust_relationship_MAD_and_self_managed"></a>

먼저 클라이언트 측 LDAPS를 활성화하려면 AWS 관리형 Microsoft AD와 자체 관리형 Microsoft Active Directory 간에 신뢰 관계를 설정해야 합니다. 자세한 내용은 [AWS 관리형 Microsoft AD와 자체 관리형 AD 간에 신뢰 관계 생성](ms_ad_setup_trust.md) 단원을 참조하십시오.

### Active Directory에 서버 인증서 배포
<a name="ldap_client_side_deploy_server_certs"></a>

클라이언트 측 LDAPS를 활성화하려면 Active Directory의 각 도메인 컨트롤러에 대한 서버 인증서를 가져와 설치해야 합니다. LDAP 서비스에서는 이러한 인증서를 사용하여 LDAP 클라이언트로부터의 SSL 연결을 수신하고 자동으로 수락합니다. 사내 Active Directory 인증서 서비스(ADCS) 배포에서 발급하거나 상업용 발급자로부터 구매한 SSL 인증서를 사용할 수 있습니다. Active Directory 서버 인증서 요구 사항에 대한 자세한 내용은 Microsoft 웹 사이트의 [LDAP over SSL (LDAPS) Certificate](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx)를 참조하세요.

### 인증 기관 인증서 요구 사항
<a name="ldap_client_side_get_certs_ready"></a>

클라이언트 측 LDAPS 작업에는 서버 인증서의 발급자를 나타내는 인증 기관(CA) 인증서가 필요합니다. CA 인증서는 LDAP 통신을 암호화하기 위해 Active Directory 도메인 컨트롤러에서 제공하는 서버 인증서와 일치합니다. 다음 CA 인증서 요구 사항에 유의하세요.
+ 클라이언트 측 LDAPS를 활성화하려면 엔터프라이즈 인증 기관(CA)이 필요합니다. 타사 상용 인증 기관인 Active Directory Certificate Service 또는 [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)를 사용할 수 있습니다. Microsoft Enterprise Certificate Authority에 대한 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc875810(v=technet.10)?redirectedfrom=MSDN)를 참조하세요.
+  인증서를 등록하려면 만료일까지 90일 이상 남아 있어야 합니다.
+ 인증서는 PEM(Privacy-Enhanced Mail) 형식이어야 합니다. Active Directory 내부에서 CA 인증서를 내보내는 경우 내보내기 파일 형식으로 base64로 인코딩된 X.509(.CER)를 선택합니다.
+  AWS 관리형 Microsoft AD 디렉터리당 최대 다섯(5) 개의 CA 인증서를 저장할 수 있습니다.
+ RSASSA-PSS 서명 알고리즘을 사용하는 인증서는 지원되지 않습니다.
+ 신뢰할 수 있는 모든 도메인의 모든 서버 인증서에 연결되는 CA 인증서를 등록해야 합니다.

### 네트워킹 요구 사항
<a name="ldap_client_side_considerations_enabling"></a>

AWS 애플리케이션 LDAP 트래픽은 TCP 포트 636에서만 실행되며 LDAP 포트 389로 대체되지 않습니다. 그러나 복제, 신뢰 등을 지원하는 Windows LDAP 통신은 Windows 기본 보안과 함께 LDAP 포트 389를 계속 사용합니다. AWS 관리형 Microsoft AD(아웃바운드) 및 자체 관리형 Active Directory(인바운드)의 포트 636에서 TCP 통신을 허용하도록 AWS 보안 그룹 및 네트워크 방화벽을 구성합니다. AWS Managed Microsoft AD 및 자체 관리형 Active Directory 간에 LDAP 포트 389를 열어 둡니다.

## 클라이언트 측 LDAPS 활성화
<a name="enableclientsideldaps"></a>

클라이언트 측 LDAPS를 활성화하려면 인증 기관(CA) 인증서를 AWS Managed Microsoft AD로 가져온 다음 디렉터리에서 LDAPS를 활성화합니다. 활성화하면 AWS 애플리케이션과 자체 관리형 Active Directory 간의 모든 LDAP 트래픽이 Secure Sockets Layer(SSL) 채널 암호화를 통해 흐릅니다.

두 가지 방법을 사용하여 디렉터리에 대해 클라이언트 측 LDAPS를 활성화할 수 있습니다. AWS Management Console 메서드 또는 AWS CLI 메서드를 사용할 수 있습니다.

**참고**  
클라이언트 측 LDAPS는 AWS 관리형 Microsoft AD의 리전별 기능입니다. [다중 리전 복제](ms_ad_configure_multi_region_replication.md)를 사용하는 경우 다음 절차를 각 리전에 별도로 적용해야 합니다. 자세한 내용은 [글로벌 기능과 리전별 기능 비교](multi-region-global-region-features.md) 단원을 참조하십시오.

**Topics**
+ [1단계:에 인증서 등록 Directory Service](#ms_ad_registercert)
+ [2단계: 등록 상태 확인](#ms_ad_check-registration-status)
+ [3단계: 클라이언트 측 LDAPS 활성화](#ms_ad_enableclientsideldapssteps)
+ [4단계: LDAPS 상태 확인](#ms_ad_check-ldaps-status)

### 1단계:에 인증서 등록 Directory Service
<a name="ms_ad_registercert"></a>

다음 방법 중 하나를 사용하여 인증서를 등록합니다 Directory Service.

**방법 1:에 인증서를 등록하려면 Directory Service (AWS Management Console)**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
   + **다중 리전 복제**에 여러 리전이 표시되는 경우 인증서를 등록할 리전을 선택한 다음 **네트워킹 및 보안** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
   + **다중 리전 복제**에 리전이 표시되지 않는 경우 **네트워킹 및 보안** 탭을 선택합니다.

1. **클라이언트 측 LDAPS** 섹션에서 **작업** 메뉴를 선택한 다음 **인증서 등록**을 선택합니다.

1. **CA 인증서 등록** 대화 상자에서 **찾아보기**를 선택한 다음 인증서를 선택하고 **열기**를 선택합니다.

1. **인증서 등록**을 선택합니다.

**방법 2:에 인증서를 등록하려면 Directory Service (AWS CLI)**
+ 다음 명령을 실행합니다. 인증서 데이터의 경우 CA 인증서 파일의 위치를 가리킵니다. 응답에 인증서 ID가 제공됩니다.

  ```
  aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
  ```

### 2단계: 등록 상태 확인
<a name="ms_ad_check-registration-status"></a>

인증서 등록 상태 또는 등록된 인증서 목록을 보려면 다음 명령을 사용합니다.

**방법 1: Directory Service (AWS Management Console)에서 인증서 등록 상태를 확인하는 방법**

1. **Directory details(디렉터리 세부 정보)** 페이지의 **클라이언트측 LDAPS** 섹션으로 이동합니다.

1. **등록 상태** 열 아래 표시되는 현재 인증서 등록 상태를 검토합니다. 등록 상태 값이 **등록됨**으로 변경되면 인증서가 성공적으로 등록된 것입니다.

**방법 2: Directory Service (AWS CLI)에서 인증서 등록 상태를 확인하는 방법**
+ 다음 명령을 실행합니다. 상태 값이 `Registered`를 반환하면 인증서가 성공적으로 등록된 것입니다.

  ```
  aws ds list-certificates --directory-id your_directory_id
  ```

### 3단계: 클라이언트 측 LDAPS 활성화
<a name="ms_ad_enableclientsideldapssteps"></a>

다음 방법 중 하나를 사용하여 클라이언트 측 LDAPS를 활성화합니다 Directory Service.

**참고**  
클라이언트 측 LDAPS를 활성화하려면 인증서를 하나 이상 등록해야 합니다.

**방법 1: Directory Service (AWS Management Console)에서 클라이언트 측 LDAPS를 활성화하려면**

1. **Directory details(디렉터리 세부 정보)** 페이지의 **클라이언트측 LDAPS** 섹션으로 이동합니다.

1. **활성화**를 선택합니다. 이 옵션을 사용할 수 없는 경우, 유효한 인증서가 성공적으로 등록되었는지 확인한 다음 다시 시도하세요.

1. **클라이언트 측 LDAPS 활성화** 대화 상자에서 **활성화**를 선택합니다.

**방법 2: Directory Service (AWS CLI)에서 클라이언트 측 LDAPS를 활성화하려면**
+ 다음 명령을 실행합니다.

  ```
  aws ds enable-ldaps --directory-id your_directory_id --type Client
  ```

### 4단계: LDAPS 상태 확인
<a name="ms_ad_check-ldaps-status"></a>

다음 방법 중 하나를 사용하여 LDAPS 상태를 확인합니다 Directory Service.

**방법 1: Directory Service (AWS Management Console)에서 LDAPS 상태 확인**

1. **Directory details(디렉터리 세부 정보)** 페이지의 **클라이언트측 LDAPS** 섹션으로 이동합니다.

1. 상태 값이 **활성화됨**으로 표시되면 LDAPS가 성공적으로 구성된 것입니다.

**방법 2: Directory Service (AWS CLI)에서 LDAPS 상태 확인**
+ 다음 명령을 실행합니다. 상태 값이 `Enabled`을 반환하면 LDAPS가 성공적으로 구성된 것입니다.

  ```
  aws ds describe-ldaps-settings –-directory-id your_directory_id
  ```

## 클라이언트 측 LDAPS 관리
<a name="ms_ad_manage-client-side-ldaps"></a>

LDAPS 구성을 관리하려면 다음 명령을 사용합니다.

두 가지 방법을 사용하여 클라이언트 측 LDAPS 설정을 관리할 수 있습니다. AWS Management Console 메서드 또는 AWS CLI 메서드를 사용할 수 있습니다.

### 인증서 세부 정보 보기
<a name="ms_ad_describe-a-certificate"></a>

다음 방법 중 하나를 사용하여 인증서가 만료되도록 설정된 시기를 확인합니다.

**방법 1: Directory Service (AWS Management Console)에서 인증서 세부 정보를 보는 방법**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
   + **다중 리전 복제**에 여러 리전이 표시되는 경우 인증서를 보려는 리전을 선택한 다음 **네트워킹 및 보안** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
   + **다중 리전 복제에** 표시된 리전이 없는 경우 **네트워킹 및 보안** 탭을 선택합니다.

1. **클라이언트 측 LDAPS** 섹션의 **CA 인증서** 아래에 인증서에 대한 정보가 표시됩니다.

**방법 2: Directory Service (AWS CLI)에서 인증서 세부 정보를 보는 방법**
+ 다음 명령을 실행합니다. 인증서 ID의 경우 `register-certificate` 또는 `list-certificates`에서 반환한 식별자를 사용합니다.

  ```
  aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
  ```

### 인증서 등록 취소
<a name="ms_ad_dergister-a-certificate"></a>

다음 방법 중 하나를 사용하여 인증서 등록을 취소합니다.

**참고**  
인증서가 하나만 등록된 경우 먼저 LDAPS를 비활성화해야 인증서의 등록을 취소할 수 있습니다.

**방법 1: Directory Service (AWS Management Console)에서 인증서 등록 취소**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
   + **다중 리전 복제**에 여러 리전이 표시된 경우 인증서 등록을 취소할 리전을 선택한 다음 **네트워킹 및** 보안 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
   + **다중 리전 복제**에 리전이 표시되지 않는 경우 **네트워킹 및 보안** 탭을 선택합니다.

1. **클라이언트 측 LDAPS** 섹션에서 **작업**을 선택한 다음 **인증서 등록 취소**를 선택합니다.

1. **CA 인증서 등록 취소** 대화 상자에서 **등록 취소**를 선택합니다.

**방법 2: Directory Service (AWS CLI)에서 인증서 등록 취소**
+ 다음 명령을 실행합니다. 인증서 ID의 경우 `register-certificate` 또는 `list-certificates`에서 반환한 식별자를 사용합니다.

  ```
  aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
  ```

### 클라이언트 측 LDAPS 비활성화
<a name="ms_ad_disable-client-side-ldaps"></a>

다음 방법 중 하나를 사용하여 클라이언트 측 LDAPS를 비활성화합니다.

**방법 1: Directory Service (AWS Management Console)에서 클라이언트 측 LDAPS를 비활성화하려면**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
   + **다중 리전 복제**에 여러 리전이 표시되는 경우 클라이언트측 LDAPS를 사용하지 않도록 설정할 리전을 선택한 다음 **네트워킹 및 보안 탭**을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
   + **다중 리전 복제**에 리전이 표시되지 않는 경우 **네트워킹 및 보안** 탭을 선택합니다.

1. **클라이언트 측 LDAPS** 섹션에서 **비활성화**를 선택합니다.

1. **클라이언트 측 LDAPS 비활성화** 대화 상자에서 **비활성화**를 선택합니다.

**방법 2: Directory Service (AWS CLI)에서 클라이언트 측 LDAPS를 비활성화하려면**
+ 다음 명령을 실행합니다.

  ```
  aws ds disable-ldaps --directory-id your_directory_id --type Client
  ```

## 인증서 등록 문제
<a name="certificate_enrollment_issue"></a>

관리 AWS 형 Microsoft AD 도메인 컨트롤러를 CA 인증서에 등록하는 프로세스는 최대 30분이 걸릴 수 있습니다. 인증서 등록에 문제가 발생하여 AWS 관리형 Microsoft AD 도메인 컨트롤러를 다시 시작하려면에 문의하세요 지원. 지원 사례를 생성하려면 [지원 사례 및 사례 관리 생성](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html)을 참조하세요.