Habilite el LDAPS del lado del servidor mediante Microsoft AD administrado AWS

La compatibilidad con el protocolo ligero de acceso a directorios Secure Sockets Layer Layer Layer (SSL) /Transport Layer Security (TLS) (LDAPS) del lado del servidor cifra las comunicaciones LDAP entre sus aplicaciones comerciales o locales compatibles con LDAP y su directorio administrado de Microsoft AD. AWS Esto ayuda a mejorar la seguridad de todas las conexiones y a cumplir los requisitos de cumplimiento mediante el protocolo criptográfico SSL (Capa de conexión segura).

Habilitación de LDAPS del servidor

Para obtener instrucciones detalladas sobre cómo configurar y configurar el LDAPS del lado del servidor y el servidor de la entidad de certificación (CA), consulte Cómo habilitar el LDAPS del lado del servidor para su directorio AWS administrado de Microsoft AD en el blog de seguridad. AWS

La mayor parte de la configuración se debe llevar a cabo desde la instancia de Amazon EC2 que se utiliza para administrar los controladores de dominio de AWS Managed Microsoft AD. Los siguientes pasos le guiarán para habilitar el LDAPS para su dominio en la nube. AWS

Si desea utilizar la automatización para configurar su infraestructura de PKI, puede utilizar Microsoft Public Key Infrastructure on AWS QuickStart Guide. En concreto, querrá seguir las instrucciones de la guía para cargar la plantilla para Implementar Microsoft PKI en una VPC existente de AWS. Una vez que cargue la plantilla, asegúrese de elegir AWSManaged cuando llegue la opción Tipo de servicios de dominio de Active Directory. Si ha utilizado la QuickStart guía, puede ir directamente aPaso 3: creación de una plantilla de certificado.

Temas

Paso 1: delegación de quién puede habilitar LDAPS
Paso 2: configuración de su entidad de certificación
Paso 3: creación de una plantilla de certificado
Paso 4: adición de reglas de grupos de seguridad

Paso 1: delegación de quién puede habilitar LDAPS

Para habilitar el LDAPS del lado del servidor, debe ser miembro del grupo Administradores o Administradores de Autoridades de Certificación Empresariales AWS Delegadas en su directorio de Microsoft AD administrado AWS . También puede ser el usuario administrativo predeterminado (cuenta de administrador). Si lo prefiere, puede tener un usuario distinto del administrador para la cuenta de LDAPS. En ese caso, añada ese usuario al grupo Administradores o Administradores de Autoridades de Certificación Empresariales AWS Delegadas en su directorio de AWS Microsoft AD administrado.

Paso 2: configuración de su entidad de certificación

Para poder habilitar LDAPS del lado del servidor, debe crear un certificado. Este certificado debe emitirlo un servidor de CA empresarial de Microsoft que esté unido a su dominio de Microsoft AD AWS administrado. Una vez creado, el certificado debe instalarse en cada uno de los controladores de dominio de ese dominio. Este certificado permite que el servicio LDAP de los controladores de dominio reciba y acepte automáticamente las conexiones SSL de clientes LDAP.

nota

El LDAPS del lado del servidor con AWS Microsoft AD administrado no admite los certificados emitidos por una CA independiente. Tampoco se admiten los certificados emitidos por una entidad de certificación de terceros.

Dependiendo de sus necesidades empresariales, dispone de las siguientes opciones para configurar o conectarse a una entidad de certificación en su dominio:

Crear una CA empresarial subordinada: (recomendada) Con esta opción, puede implementar un servidor de CA empresarial subordinado de Microsoft en la AWS nube. El servidor puede utilizar Amazon EC2 para que funcione con la CA raíz de Microsoft existente. Para obtener más información acerca de cómo configurar una CA empresarial subordinada de Microsoft, consulte el paso 4: Agregar una CA empresarial de Microsoft al directorio de AWS Microsoft AD en Cómo habilitar el LDAPS del lado del servidor para su directorio de AWS Microsoft AD administrado.
Crear una CA empresarial raíz de Microsoft: con esta opción, puede crear una CA empresarial raíz de Microsoft en la AWS nube mediante Amazon EC2 y unirla a su dominio de AWS Microsoft AD administrado. Esta entidad de certificación raíz puede emitir el certificado para los controladores de dominio. Para obtener más información sobre la configuración de una nueva CA raíz, consulte el paso 3: Instalar y configurar una CA sin conexión en Cómo habilitar el LDAPS del lado del servidor para su directorio administrado de AWS Microsoft AD.

Para obtener más información acerca de cómo unir la instancia EC2 al dominio, consulte Unir una instancia de Amazon EC2 a su AWS Microsoft AD gestionado Active Directory.

Paso 3: creación de una plantilla de certificado

Una vez configurada la CA de empresa, puede configurar la plantilla de certificado de autenticación Kerberos.

Creación de una plantilla de certificado

Inicie Microsoft Windows Server Manager. Seleccione Herramientas > Autoridad de certificación.
En la ventana Entidad de certificación, expanda el árbol Entidad de certificación en el panel izquierdo. Haga clic con el botón derecho en Plantillas de certificado y luego elija Administrar.
En la ventana de Consola de plantillas de certificado de, haga clic con el botón derecho en Autenticación Kerberos y luego elija Plantilla duplicada.
Aparecerá la ventana Propiedades de la nueva plantilla.
En la ventana Propiedades de la nueva plantilla, vaya a la pestaña Compatibilidad y, a continuación, haga lo siguiente:
1. Cambie la autoridad de certificación por el sistema operativo que coincida con su CA.
2. Si aparece una ventana Cambios resultantes, seleccione Aceptar.
3. Cambie el destinatario de la certificación a Windows 10/Windows Server 2016.
  
  nota
  AWS Managed Microsoft AD funciona con Windows Server 2019.
4. Si aparecen ventanas de cambios resultantes, seleccione Aceptar.
Haga clic en la pestaña General y cambie el nombre para mostrar de la plantilla a LDAPOVERSSL o cualquier otro nombre que prefiera.
Haga clic en la pestaña Seguridad y elija Controladores de dominio en la sección Nombres de usuarios o grupo. En la sección Permisos para controladores de dominio, compruebe que las casillas de verificación Permitir para Leer, Inscribir e Inscribir automáticamente estén activadas.
Haga clic en Aceptar para crear la plantilla del certificado LDAPOVERSSL (o el nombre que especificó anteriormente). Cierre la ventana de la Consola de plantillas de certificados.
En la ventana Entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y elija Nuevo > Plantilla de certificado que se va a emitir.
En la ventana Habilitar plantillas de certificados, elija LDAPOVERSSL (o el nombre que especificó anteriormente) y, a continuación, elija Aceptar.

Paso 4: adición de reglas de grupos de seguridad

En el paso final, debe abrir la consola de Amazon EC2 y agregar reglas del grupo de seguridad. Estas reglas permiten que los controladores de dominio se conecten a la CA empresarial para solicitar un certificado. Para ello, tiene que añadir reglas de entrada para que su entidad de certificación empresarial pueda aceptar el tráfico entrante desde los controladores de dominio. A continuación, añada reglas de salida para permitir el tráfico desde los controladores de dominio a la entidad de certificación empresarial.

Una vez que ambas reglas se han configurado, los controladores de dominio solicitan automáticamente un certificado de su entidad de certificación empresarial y habilitan LDAPS para su directorio. El servicio de LDAP en los controladores de dominio ya está listo para aceptar conexiones LDAPS.

Configuración de reglas de grupos de seguridad

Vaya a la consola de Amazon EC2 en https://console.aws.amazon.com/ec2 e inicie sesión con las credenciales de administrador.
En el panel izquierdo, elija Security Groups en Network & Security.
En el panel principal, elija el grupo AWS de seguridad de su CA.
Elija la pestaña Inbound (Entrada) y, a continuación, elija Edit (Editar).
En el cuadro de diálogo Edit inbound rules, haga lo siguiente:
- Seleccione Add Rule (Agregar regla).
- Elija All traffic en Type y Custom en Source.
- Introduzca el grupo de AWS seguridad de su directorio (por ejemplo, sg-123456789) en el cuadro situado junto a Fuente.
- Seleccione Guardar.
Ahora elija el grupo de AWS seguridad de su directorio AWS administrado de Microsoft AD. Elija la pestaña Outbound y, a continuación, elija Edit.
En el cuadro de diálogo Edit outbound rules, haga lo siguiente:
- Seleccione Add Rule (Agregar regla).
- Elija All traffic en Type y Custom en Destination.
- Escriba el grupo de AWS seguridad de su entidad emisora de certificados en el cuadro situado junto a Destino.
- Seleccione Guardar.

Puede probar la conexión LDAPS al directorio AWS administrado de Microsoft AD mediante la herramienta LDP. La herramienta LDP viene con las herramientas de administración de Active Directory. Para obtener más información, consulte Instalación de las herramientas de administración de Active Directory para Microsoft AD AWS administrado.

nota

Antes de probar la conexión LDAPS, debe esperar hasta 30 minutos a que la entidad de certificación subordinada emita un certificado para los controladores de dominio.

Para obtener más información sobre el LDAPS del lado del servidor y ver un ejemplo de caso de uso sobre cómo configurarlo, consulte Cómo habilitar el LDAPS del lado del servidor para su directorio AWS administrado de Microsoft AD en el blog de seguridad. AWS

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilite LDAP o LDAPS seguros

Habilitación de LDAPS del cliente