Pré-requisitos - AWS Directory Service
Implantar certificados de servidor no Active DirectoryRequisitos de certificado de CARequisitos de rede

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisitos

Antes de habilitar o LDAPS no lado do cliente, você precisa atender aos requisitos a seguir.

Implantar certificados de servidor no Active Directory

Para habilitar o LDAPS no lado do cliente, é necessário obter e instalar certificados de servidor para cada controlador de domínio no Active Directory. Esses certificados serão usados pelo serviço LDAP para escutar e aceitar automaticamente as conexões SSL de clientes LDAP. Você pode usar os certificados SSL emitidos por uma implantação interna do Active Directory Certificate Services (ADCS) ou comprados de um emissor comercial. Para obter mais informações sobre os requisitos de certificado de servidor do Active Directory, consulte LDAP over SSL (LDAPS) Certificate no site da Microsoft.

Requisitos de certificado de CA

Um certificado de autoridade de certificação (CA), que representa o emissor dos certificados de servidor, é necessário para a operação LDAPS no lado do cliente. Os certificados CA são combinados com os certificados de servidor apresentados pelos controladores de domínio do Active Directory para criptografar as comunicações de LDAP. Observe os seguintes requisitos de certificado CA:

  • Para registrar um certificado, ele deve estar a mais de 90 dias da expiração.

  • Os certificados devem estar no formato PEM (Privacy Enhanced Mail). Se exportar certificados CA de dentro do Active Directory, escolha X.509 (.CER) codificado em base64 como o formato de arquivo de exportação.

  • No máximo, cinco (5) certificados de CA podem ser armazenados por diretório do AD Connector.

  • Não há suporte para certificados que usam o algoritmo de assinatura RSASSA-PSS.

Requisitos de rede

O tráfego LDAP do aplicativo da AWS será executado exclusivamente na porta TCP 636, sem fallback para a porta LDAP 389. Porém, as comunicações LDAP do Windows que oferecem suporte a replicação, relações de confiança e muito mais continuarão a usar a porta LDAP 389 com segurança nativa do Windows. Configure grupos de segurança da AWS e firewalls de rede para permitir comunicações TCP na porta 636 no AD Connector (saída) e no Active Directory autogerenciado (entrada).