使用 AWS Managed Microsoft AD 啟用用戶端 LDAPS - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Managed Microsoft AD 啟用用戶端 LDAPS

AWS Managed Microsoft AD 支援的用戶端 LDAPS 會將 Microsoft Active Directory (AD) 和 AWS 應用程式之間的通訊加密。此類應用程式包括 WorkSpaces、AWS IAM Identity Center、Amazon QuickSight 和 Amazon Chime 等。此加密有助於保護您組織的身分資料並符合您的安全要求。

先決條件

啟用用戶端 LDAPS 前,您必須符合以下要求。

在 Active Directory 中部署伺服器憑證

若要啟用用戶端 LDAPS,您需要為 Active Directory 中的每個網域控制站取得並安裝伺服器憑證。LDAP 服務將使用這些憑證接聽並自動接受來自 LDAP 用戶端的 SSL 連線。您可以使用內部 Active Directory Certificate Services (ADCS) 部署發行或從商業發行者購買的 SSL 憑證。如需 Active Directory 伺服器憑證要求的詳細資訊,請參閱 Microsoft 網站上透過 SSL 的 LDAP (LDAPS) 憑證

CA 憑證要求

用戶端 LDAPS 操作須使用憑證授權機構 (CA) 的憑證 (代表您伺服器憑證的發行者)。憑證授權機構憑證會以 Active Directory 網域控制站出示的伺服器憑證進行比對,以加密 LDAP 通訊。請注意下列 CA 憑證要求:

  • 若要登錄憑證,憑證的過期日期必須在 90 天以上。

  • 憑證必須是隱私權增強式郵件 (PEM) 格式。如果從 Active Directory 內部匯出 CA 憑證,選擇 base64 編碼的 X.509 (.CER) 做為匯出檔案格式。

  • 每個 AWS Managed Microsoft AD 目錄最多可以儲存 5 個憑證授權機構憑證。

  • 不支援使用 RSASSA-PSS 簽章演算法的憑證。

  • 鏈結至每個信任網域中每個伺服器憑證的 CA 憑證皆須登錄。

網路要求

AWS 應用程式 LDAP 流量僅在 TCP 連接埠 636 上執行,不會回復到 LDAP 連接埠 389。不過,支援複寫、信任等等的 Windows LDAP 通訊將繼續使用具備 Windows 原生安全性的 LDAP 連接埠 389。將 AWS 安全群組和網路防火牆設為允許 AWS Managed Microsoft AD (傳出) 和自我管理 Active Directory (傳入) 中連接埠 636 上的 TCP 通訊。讓 LDAP 連接埠 389 在 AWS Managed Microsoft AD 與自我管理 Active Directory 之間維持開啟狀態。

啟用用戶端 LDAPS

若要啟用用戶端 LDAPS,您只需將憑證授權機構 (CA) 憑證匯入 AWS Managed Microsoft AD ,然後在目錄上啟用 LDAPS。啟用後,AWS 應用程式與您的自我管理 Active Directory 之間的所有 LDAP 通訊將透過安全通訊端層 (SSL) 通道加密進行傳輸。

您可以使用兩種不同的方法,為您的目錄啟用用戶端 LDAPS。您可以使用 AWS Management Console 或 AWS CLI。

注意

用戶端 LDAPS 是 AWS Managed Microsoft AD 的區域功能。如果您使用 多區域複製,則必須在每個區域中單獨執行以下程序。如需更多詳細資訊,請參閱 全域與區域功能

步驟 1:將憑證登錄於 AWS Directory Service

使用以下任一方法將憑證登錄於 AWS Directory Service。

方法 1:若要將您的憑證登錄於 AWS Directory Service (AWS Management Console)
  1. AWS Directory Service 主控台導覽窗格中,選取目錄

  2. 選擇您目錄的目錄 ID 連結。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取要登錄憑證的區域,然後選擇聯網和安全索引標籤。如需更多詳細資訊,請參閱 主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Client-side LDAPS (用戶端 LDAPS) 畫面中,選取 Actions (動作) 功能表,然後選取 Register certificate (登錄憑證)

  5. Register a CA certificate (登錄憑證授權機構憑證) 對話方塊中,選取 Browse (瀏覽),然後選取憑證並選擇 Open (開啟)

  6. 選擇 Register certificate (登錄憑證)

方法 2:若要將您的憑證登錄於 AWS Directory Service (AWS CLI)
  • 執行下列命令。對於憑證資料,請指向您 CA 憑證檔案的位置。憑證 ID 會在回應中提供。

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path

步驟 2:檢查登錄狀態

若要查看憑證登錄狀態或登錄的憑證清單,請使用以下任一方法。

方法 1:若要在 AWS Directory Service (AWS Management Console) 中檢查憑證登錄狀態
  1. 前往目錄詳細資訊頁面上的用戶端 LDAPS 區段。

  2. 檢閱 Registration status (登錄狀態) 欄下方顯示的目前憑證登錄狀態。當登錄狀態值變更為 Registered (已登錄),表示您的憑證已成功登錄。

方法 2:若要在 AWS Directory Service (AWS CLI) 中檢查憑證登錄狀態
  • 執行下列命令。如果狀態值傳回 Registered,表示您的憑證已成功登錄。

    aws ds list-certificates --directory-id your_directory_id

步驟 3:啟用用戶端 LDAPS

使用以下其中一個方法在 AWS Directory Service 中啟用用戶端 LDAPS。

注意

您必須先成功登錄至少一個憑證,才能啟用用戶端 LDAPS。

方法 1:若要在 AWS Directory Service (AWS Management Console) 中啟用用戶端 LDAPS
  1. 前往目錄詳細資訊頁面上的用戶端 LDAPS 區段。

  2. 選擇 啟用 。如果無法使用此選項,請確認已成功登錄有效憑證,然後再試一次。

  3. Enable client-side LDAPS (啟用用戶端 LDAPS) 對話方塊中,選擇 Enable (啟用)

方法 2:若要在 AWS Directory Service (AWS CLI) 中啟用用戶端 LDAPS
  • 執行下列命令。

    aws ds enable-ldaps --directory-id your_directory_id --type Client

步驟 4:查看 LDAPS 狀態

使用以下其中一個方法,在 AWS Directory Service 中檢查 LDAPS 狀態。

方法 1:若要在 AWS Directory Service (AWS Management Console) 中檢查 LDAPS 狀態
  1. 前往目錄詳細資訊頁面上的用戶端 LDAPS 區段。

  2. 如果狀態值顯示為 Enabled (已啟用),表示 LDAPS 已成功設定。

方法 2:若要在 AWS Directory Service (AWS CLI) 中檢查 LDAPS 狀態
  • 執行下列命令。如果狀態值傳回 Enabled,表示 LDAPS 已成功設定。

    aws ds describe-ldaps-settings –-directory-id your_directory_id

管理用戶端 LDAPS

使用這些命令來管理您的 LDAPS 組態。

您可以使用兩種不同的方法來管理用戶端 LDAPS 設定。您可以使用 AWS Management Console 或 AWS CLI。

檢視憑證詳細資訊

使用下列其中一種方法來查看憑證設為過期的時間。

方法 1:若要在 AWS Directory Service (AWS Management Console) 中檢視憑證詳細資訊
  1. AWS Directory Service 主控台導覽窗格中,選取目錄

  2. 選擇您目錄的目錄 ID 連結。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取要檢視憑證的區域,然後選擇聯網和安全索引標籤。如需更多詳細資訊,請參閱 主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Client-side LDAPS (用戶端 LDAPS) 區段中,在 CA certificates (憑證授權機構憑證) 下方,將顯示憑證相關資訊。

方法 2:若要在 AWS Directory Service (AWS CLI) 中檢視憑證詳細資訊
  • 執行下列命令。對於憑證 ID,使用 register-certificatelist-certificates 傳回的識別符。

    aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id

取消登錄憑證

使用下列其中一種方法來取消登錄憑證。

注意

如果只登錄一個憑證,必須先停用 LDAPS,才能取消登錄憑證。

方法 1:若要在 AWS Directory Service (AWS Management Console) 中取消登錄憑證
  1. AWS Directory Service 主控台導覽窗格中,選取目錄

  2. 選擇您目錄的目錄 ID 連結。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取要取消登錄憑證的區域,然後選擇聯網和安全索引標籤。如需更多詳細資訊,請參閱 主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Client-side LDAPS (用戶端 LDAPS) 區段中,選擇 Actions (動作),然後選擇 Deregister certificate (取消登錄憑證)

  5. Deregister a CA certificate (取消登錄憑證授權機構憑證) 對話方塊中,選擇 Deregister (取消登錄)

方法 2:若要取消登錄 AWS Directory Service (AWS CLI) 中的憑證
  • 執行下列命令。對於憑證 ID,使用 register-certificatelist-certificates 傳回的識別符。

    aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id

停用用戶端 LDAPS

使用以下其中一個方法來停用用戶端 LDAPS。

方法 1:若要在 AWS Directory Service (AWS Management Console) 中停用用戶端 LDAPS
  1. AWS Directory Service 主控台導覽窗格中,選取目錄

  2. 選擇您目錄的目錄 ID 連結。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取要停用用戶端 LDAPS 的區域,然後選擇聯網和安全索引標籤。如需更多詳細資訊,請參閱 主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Client-side LDAPS (用戶端 LDAPS) 區段中,選擇 Disable (停用)

  5. Disable client-side LDAPS (停用用戶端 LDAPS) 對話方塊中,選擇 Disable (停用)

方法 2:若要在 AWS Directory Service (AWS CLI) 中停用用戶端 LDAPS
  • 執行下列命令。

    aws ds disable-ldaps --directory-id your_directory_id --type Client