Prérequis - AWS Directory Service
Déploiement des certificats de serveur dans Active DirectoryExigences relatives aux certificats de CAExigences liées à la mise en réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis

Avant d'activer LDAPS côté client, vous devez satisfaire les exigences suivantes.

Déploiement des certificats de serveur dans Active Directory

Afin d'activer LDAPS côté client, vous devez obtenir et installer des certificats de serveur pour chaque contrôleur de domaine dans Active Directory. Ces certificats seront utilisés par le service LDAP pour écouter et accepter automatiquement les connexions SSL provenant de clients LDAP. Vous pouvez utiliser des certificats SSL émis par un déploiement ADCS (services de certificat Active Directory) interne ou achetés auprès d'un émetteur commercial. Pour plus d'informations sur les exigences relatives aux certificats de serveur Active Directory, consultez LDAP over SSL (LDAPS) Certificate sur le site web de Microsoft.

Exigences relatives aux certificats de CA

Un certificat d'autorité de certification (CA), qui représente l'émetteur de vos certificats de serveur, est requis pour le fonctionnement de LDAPS côté client. Les certificats d'une autorité de certification sont mis en correspondance avec les certificats de serveur présentés par vos contrôleurs de domaine Active Directory pour chiffrer les communications LDAP. Notez les exigences suivantes relatives aux certificats d'autorité de certification :

  • Pour que vous puissiez enregistrer un certificat, celui-ci doit expirer dans plus de 90 jours.

  • Les certificats doivent être au format PEM (Privacy-Enhanced Mail). Si vous exportez des certificats d'autorité de certification à partir d'Active Directory, choisissez X.509 codé en base64 (.CER) comme format de fichier d'exportation.

  • Cinq (5) certificats d'une autorité de certification au maximum peuvent être stockés par l'annuaire AD Connector.

  • Les certificats utilisant l'algorithme de signature RSASSA-PSS ne sont pas pris en charge.

Exigences liées à la mise en réseau

Le trafic LDAP d'application AWS doit s'exécuter exclusivement sur le port TCP 636, sans basculement sur le port LDAP 389. Toutefois, les communications LDAP Windows prenant en charge la réplication, les approbations, etc. continueront d'utiliser le port LDAP 389 avec une sécurité native Windows. Configurez des pare-feu et des groupes de sécurité AWS pour autoriser les communications TCP sur le port 636 dans AD Connector (en sortie) et Active Directory autogérées (en entrée).