Prerequisiti - AWS Directory Service
Distribuire certificati server in Active DirectoryRequisiti del certificato CARequisiti di rete

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti

Prima di abilitare LDAPS lato client, è necessario soddisfare i seguenti requisiti.

Distribuire certificati server in Active Directory

Per abilitare LDAPS lato client, è necessario ottenere e installare i certificati server per ogni controller di dominio in Active Directory. Questi certificati verranno utilizzati dal servizio LDAP per ascoltare e accettare automaticamente connessioni SSL dai client LDAP. È possibile utilizzare certificati SSL emessi da una distribuzione interna di Active Directory Certificate Services (ADCS) o acquistati da un’emittente commerciale. Per ulteriori informazioni sui requisiti dei certificati server Active Directory, vedere il certificato LDAP su SSL (LDAPS) sul sito Web Microsoft.

Requisiti del certificato CA

Un certificato di autorità di certificazione (CA), che rappresenta l'emittente dei certificati server, è necessario per l'operazione LDAPS lato client. I certificati CA sono abbinati ai certificati server presentati dai controller di dominio Active Directory per crittografare le comunicazioni LDAP. Tenere presenti i seguenti requisiti del certificato CA:

  • Per registrare un certificato, sono necessari più di 90 giorni dalla scadenza.

  • I certificati devono essere in formato PEM (Privacy-Enhanced Mail). Se si esportano certificati CA da Active Directory, scegliere il formato di file di esportazione con codifica Base64 X.509 (.CER).

  • È possibile archiviare un massimo di cinque (5) certificati CA per la directory AD Connector.

  • I certificati che utilizzano l'algoritmo di firma RSASSA-PSS non sono supportati.

Requisiti di rete

L’applicazione AWS del traffico LDAP verrà eseguita esclusivamente sulla porta TCP 636, senza alcun fallback alla porta LDAP 389. Tuttavia, le comunicazioni LDAP di Windows che supportano replica, trust e altro ancora continueranno a utilizzare la porta LDAP 389 con protezione nativa di Windows. Configura i gruppi di sicurezza AWS e i firewall di rete per consentire le comunicazioni TCP sulla porta 636 in AD Connector (in uscita) e Active Directory autogestita (in ingresso).