Prasyarat

Sebelum Anda mengaktifkan LDAPS sisi klien, Anda harus memenuhi persyaratan berikut.

Men-deploy sertifikat server di Direktori Aktif

Untuk mengaktifkan LDAPS sisi klien, Anda perlu untuk mendapatkan dan menginstal sertifikat server untuk setiap pengendali domain di Direktori Aktif. Sertifikat ini akan digunakan oleh layanan LDAP untuk mendengarkan dan secara otomatis menerima koneksi SSL dari klien LDAP. Anda dapat menggunakan sertifikat SSL yang dikeluarkan oleh deployment Active Directory Certificate Services (ADCS) atau dibeli dari penerbit komersial. Untuk informasi lebih lanjut tentang persyaratan sertifikat server Direktori Aktif, lihat LDAP melalui Sertifikat SSL (LDAPS) di situs web Microsoft.

Persyaratan sertifikat CA

Sertifikat otoritas sertifikat (CA), yang mewakili penerbit sertifikat server Anda, diperlukan untuk operasi LDAPS sisi klien. Sertifikat CA cocok dengan sertifikat server yang disajikan oleh pengendali domain Direktori Aktif Anda untuk mengenkripsi komunikasi LDAP. Perhatikan persyaratan sertifikat CA berikut:

• Untuk mendaftarkan sertifikat, harus lebih dari 90 hari dari kedaluwarsa.

• Sertifikat harus dalam format Privacy Enhanced Mail (PEM). Jika mengekspor sertifikat CA dari dalam Direktori Aktif, pilih base64 encoded X.509 (.CER) sebagai format file ekspor.

• Maksimum lima (5) sertifikat CA dapat disimpan per direktori AD Connector.

• Sertifikat yang menggunakan algoritma tanda tangan RSASSA-PSS tidak didukung.

Persyaratan jaringan

Lalu lintas LDAP aplikasi AWS akan berjalan secara eksklusif pada TCP port 636, tanpa fallback ke LDAP port 389. Namun, komunikasi Windows LDAP yang mendukung replikasi, kepercayaan, dan banyak lagi akan terus menggunakan LDAP port 389 dengan keamanan native Windows. Konfigurasikan grup keamanan AWS dan network firewall untuk mengizinkan komunikasi TCP pada port 636 di AD Connector (outbound) dan Direktori Aktif yang dikelola sendiri (inbound).