Serverseitiges LDAPS mithilfe von AWS Managed Microsoft AD aktivieren - AWS Directory Service
Serverseitiges LDAPS aktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serverseitiges LDAPS mithilfe von AWS Managed Microsoft AD aktivieren

Die serverseitige Unterstützung des Lightweight Directory Access Protocol Secure Sockets Layer (SSL) /Transport Layer Security (TLS) (LDAPS) verschlüsselt die LDAP-Kommunikation zwischen Ihren kommerziellen oder selbst entwickelten LDAP-fähigen Anwendungen und Ihrem verwalteten Microsoft AD-Verzeichnis. AWS Dies trägt dazu bei, die Sicherheit über die gesamte Leitung hinweg zu verbessern und die Compliance-Anforderungen mithilfe des Verschlüsselungsprotokolls Secure Sockets Layer (SSL) zu erfüllen.

Serverseitiges LDAPS aktivieren

Ausführliche Anweisungen zur Einrichtung und Konfiguration serverseitiger LDAPS und Ihres Zertifizierungsstellenservers (CA) finden Sie unter So aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis im Sicherheitsblog. AWS

Ein Großteil der Einrichtung erfolgt über die Amazon-EC2-Instance, die Sie für die Verwaltung Ihrer Domain-Controller in AWS Managed Microsoft AD verwenden. Die folgenden Schritte führen Sie durch die Aktivierung von LDAPS für Ihre Domain in der Cloud. AWS

Wenn Sie Ihre PKI-Infrastruktur mithilfe von Automatisierung einrichten möchten, können Sie die Microsoft Public Key Infrastructure on AWS QuickStart Guide verwenden. Insbesondere sollten Sie den Anweisungen in der Anleitung folgen, um die Vorlage für Microsoft PKI in eine bestehende VPC auf AWS bereitstellen zu laden. Stellen Sie nach dem Laden der Vorlage sicher, dass Sie AWSManaged auswählen, wenn Sie zur Option Typ der Active-Directory-Domainservices gelangen. Wenn Sie den QuickStart Leitfaden verwendet haben, können Sie direkt zu Schritt 3: Eine Zertifikatvorlage erstellen diesem Thema springen.

Schritt 1: Delegieren, wer LDAPS aktivieren kann

Um serverseitiges LDAPS zu aktivieren, müssen Sie Mitglied der Gruppe Admins oder AWS Delegated Enterprise Certificate Authority Administrators in Ihrem AWS verwalteten Microsoft AD-Verzeichnis sein. Alternativ können Sie der standardmäßige Administratorbenutzer sein (Admin-Konto). Wenn Sie möchten, können Sie einen anderen Benutzer als das Admin-Konto dazu veranlassen, LDAPS einzurichten. In diesem Fall fügen Sie diesen Benutzer der Gruppe Admins oder AWS Delegated Enterprise Certificate Authority Administrators in Ihrem AWS Managed Microsoft AD-Verzeichnis hinzu.

Schritt 2: Ihre Zertifizierungsstelle einrichten

Bevor Sie serverseitiges LDAPS aktivieren können, müssen Sie ein Zertifikat erstellen. Dieses Zertifikat muss von einem Microsoft Enterprise CA-Server ausgestellt werden, der mit Ihrer AWS verwalteten Microsoft AD-Domäne verbunden ist. Nachdem das Zertifikat erstellt wurde, muss es auf jedem Ihrer Domain-Controller in dieser Domain installiert werden. Dieses Zertifikat ermöglicht, dass der LDAP-Service auf den Domain-Controllern darauf achtet, ob SSL-Verbindungen von LDAP-Clients angefordert werden, und diese automatisch akzeptiert.

Anmerkung

Serverseitiges LDAPS mit AWS Managed Microsoft AD unterstützt keine Zertifikate, die von einer eigenständigen Zertifizierungsstelle ausgestellt wurden. Darüber hinaus unterstützt es keine Zertifikate von einer Drittanbieter-Zertifizierungsstelle.

Abhängig von Ihren geschäftlichen Anforderungen können Sie die folgenden Optionen für das Einrichten oder Herstellen einer Verbindung mit einer Zertifizierungsstelle in Ihrer Domain haben:

  • Eine untergeordnete Microsoft Enterprise CA erstellen — (empfohlen) Mit dieser Option können Sie einen untergeordneten Microsoft Enterprise CA Server in der AWS Cloud bereitstellen. Der Server kann Amazon EC2 so verwenden, dass es mit Ihrer vorhandenen Microsoft-Stammzertifizierungsstelle funktioniert. Weitere Informationen zum Einrichten einer untergeordneten Microsoft-Unternehmenszertifizierungsstelle finden Sie unter Schritt 4: Hinzufügen einer Microsoft Enterprise-CA zu Ihrem AWS Microsoft AD-Verzeichnis unter So aktivieren Sie serverseitige LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis.

  • Eine Microsoft-Unternehmensstammzertifizierungsstelle erstellen — Mit dieser Option können Sie mithilfe von Amazon EC2 eine Microsoft-Unternehmensstammzertifizierungsstelle in der AWS Cloud erstellen und diese mit Ihrer AWS verwalteten Microsoft AD-Domain verbinden. Diese Root-Zertifizierungsstelle kann das Zertifikat für Ihren Domain-Controller ausstellen. Weitere Informationen zum Einrichten einer neuen Stammzertifizierungsstelle finden Sie unter Schritt 3: Installieren und Konfigurieren einer Offline-Zertifizierungsstelle unter So aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis.

Weitere Informationen darüber, wie Sie Ihre EC2-Instance mit der Domain verbinden, finden Sie unter Verbinden Sie eine Amazon EC2 EC2-Instance mit Ihrem AWS Managed Microsoft AD Active Directory.

Schritt 3: Eine Zertifikatvorlage erstellen

Nachdem Ihre Unternehmenszertifizierungsstelle eingerichtet wurde, können Sie die Zertifikatvorlage für Kerberos-Authentifizierung konfigurieren.

Erstellen einer Zertifikatvorlage

  1. Starten Sie Microsoft Windows Server Manager. Wählen Sie Tools > Zertifizierungsstelle aus.

  2. Erweitern Sie im Fenster Zertifizierungsstelle die Zertifizierungsstellenstruktur im linken Fensterbereich. Klicken Sie mit der rechten Maustaste auf Zertifikatsvorlagen und wählen Sie Verwalten.

  3. Klicken Sie im Fenster Konsole für Zertifikatsvorlagen mit der rechten Maustaste auf Kerberos-Authentifizierung und wählen Sie Vorlage duplizieren.

  4. Das Fenster Eigenschaften der neuen Vorlage wird geöffnet.

  5. Gehen Sie im Fenster Eigenschaften der neuen Vorlage zur Registerkarte Kompatibilität und gehen Sie dann wie folgt vor:

    1. Ändern Sie die Zertifizierungsstelle auf das Betriebssystem, das Ihrer CA entspricht.

    2. Wenn ein Fenster mit den resultierenden Änderungen angezeigt wird, wählen Sie OK aus.

    3. Ändern Sie den Zertifizierungsempfänger auf Windows 10/Windows Server 2016.

      Anmerkung

      AWS Managed Microsoft AD wird von Windows Server 2019 unterstützt.

    4. Wenn Fenster mit den resultierenden Änderungen angezeigt werden, wählen Sie OK aus.

  6. Klicken Sie auf die Registerkarte Allgemein und ändern Sie den Anzeigenamen der Vorlage in LDAPOverSSL oder einen anderen Namen, den Sie bevorzugen.

  7. Klicken Sie auf die Registerkarte Sicherheit und wählen Sie Domain-Controller im Abschnitt Gruppen- oder Benutzernamen. Vergewissern Sie sich im Abschnitt Berechtigungen für Domain-Controller, dass die Kontrollkästchen Lesen, Registrieren und Auto-Registrierung aktiviert sind.

  8. Wählen Sie OK, um die Zertifikatsvorlage LDAPOverSSL (oder den oben angegebenen Namen) zu erstellen. Schließen Sie das Fenster der Zertifikatsvorlagen-Konsole.

  9. Klicken Sie im Fenster Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatsvorlagen und wählen Sie Neu > Zertifikatsvorlage zum Ausstellen.

  10. Wählen Sie im Fenster Zertifikatsvorlagen aktivieren die Option LDAPOverSSL (oder den Namen, den Sie oben angegeben haben), und wählen Sie dann OK.

Schritt 4: Sicherheitsgruppenregeln hinzufügen

Im letzten Schritt müssen Sie die Amazon-EC2-Konsole öffnen und Sicherheitsgruppenregeln hinzufügen. Diese Regeln ermöglichen es Ihren Domain-Controllern, eine Verbindung zu Ihrer Unternehmenszertifizierungsstelle herzustellen, um ein Zertifikat anzufordern. Dazu fügen Sie Regeln für den eingehenden Datenverkehr hinzu, sodass Ihre Enterprise CA eingehenden Datenverkehr von Ihren Domain-Controllern akzeptieren kann. Anschließend fügen Sie Regeln für ausgehenden Datenverkehr von Ihren Domain-Controllern zur Enterprise-Zertifizierungsstelle hinzu.

Sobald beide Regeln konfiguriert wurden, fordern Ihre Domain-Controller automatisch ein Zertifikat von Ihrer Enterprise CA an und aktivieren LDAPS für Ihr Verzeichnis. Der LDAP-Service auf Ihren Domain-Controllern kann jetzt LDAPS-Verbindungen akzeptieren.

Konfigurieren von Sicherheitsgruppenregeln

  1. Navigieren Sie zu Ihrer Amazon-EC2-Konsole unter https://console.aws.amazon.com/ec2 und melden Sie sich mit Administratoranmeldeinformationen an.

  2. Wählen Sie links die Option Security Groups unter Network & Security.

  3. Wählen Sie im Hauptbereich die AWS Sicherheitsgruppe für Ihre CA aus.

  4. Wählen Sie die Registerkarte Inbound (Eingehend) und anschließend Edit (Bearbeiten) aus.

  5. Führen Sie im Dialogfeld Edit inbound rules die folgenden Schritte aus:

    • Klicken Sie auf Add Rule (Regel hinzufügen).

    • Wählen Sie All traffic für Type und Custom für Source.

    • Geben Sie die AWS Sicherheitsgruppe Ihres Verzeichnisses (z. B. sg-123456789) in das Feld neben Quelle ein.

    • Wählen Sie Speichern.

  6. Wählen Sie nun die AWS Sicherheitsgruppe Ihres AWS Managed Microsoft AD-Verzeichnisses aus. Wählen Sie die Registerkarte Outbound und anschließend Edit.

  7. Führen Sie im Dialogfeld Edit outbound rules die folgenden Schritte aus:

    • Klicken Sie auf Add Rule (Regel hinzufügen).

    • Wählen Sie All traffic für Type und Custom für Destination.

    • Geben Sie die AWS Sicherheitsgruppe Ihrer CA in das Feld neben Ziel ein.

    • Wählen Sie Speichern.

Sie können die LDAPS-Verbindung zum AWS Managed Microsoft AD-Verzeichnis mit dem LDP-Tool testen. Das Tool LDP ist in den Active Directory Administrative Tools enthalten. Weitere Informationen finden Sie unter Installieren Sie die Active Directory-Verwaltungstools für AWS Managed Microsoft AD.

Anmerkung

Bevor Sie die LDAPS-Verbindung testen, müssen Sie bis zu 30 Minuten warten, bis die untergeordnete Zertifizierungsstelle ein Zertifikat für Ihre Domain-Controller ausgestellt hat.

Weitere Informationen zu serverseitigen LDAPS und ein Anwendungsbeispiel für die Einrichtung finden Sie unter So aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis im Sicherheitsblog. AWS