使用 AWS Managed Microsoft AD 啟用伺服器端 LDAPS

伺服器端輕量型目錄存取通訊協定安全通訊端層 (SSL)/傳輸層安全 (TLS) (LDAPS) 支援加密商業或自有 LDAP 感知應用程式與 AWS Managed Microsoft AD 目錄之間的 LDAP 通訊。這有助於使用 Secure Sockets Layer (SSL) 加密通訊協定提升網路上的安全，並符合合規要求。

啟用伺服器端 LDAPS

如需有關如何設定和設定伺服器端 LDAPS 和憑證授權機構 (CA) 伺服器的詳細資訊，請參閱 AWS 安全部落格中的如何為您的 AWS 受管 Microsoft AD 目錄啟用伺服器端 LDAPS。

您必須從用來管理 AWS Managed Microsoft AD 域控制站的 Amazon EC2 執行個體，進行大部分的設定。下列步驟會引導您在 AWS 雲端中為網域啟用 LDAPS。

如果您想要使用自動化來設定 PKI 基礎設施，您可以使用 Microsoft Public Key Infrastructure on AWS QuickStart 指南。具體而言，您可以遵循指南中的指示，載入 Deploy Microsoft PKI into an existing VPC on AWS 的範本。載入範本之後，針對 Active Directory Domain Services Type 選項，請務必選擇 AWSManaged。如果您使用快速指南，則可以直接跳至 步驟 3：建立憑證範本。

步驟 1：委派可啟用 LDAPS 的人員

若要啟用伺服器端 LDAPS，您必須是 AWS Managed Microsoft AD 目錄中 Admins 或 AWS 委派企業憑證授權機構管理員群組的成員。或者，您可以是預設管理使用者 (Admin 帳戶)。如果您想要的話，您可以讓 Admin 帳戶以外的使用者設定 LDAPS。在這種情況下，將該使用者新增至 AWS Managed Microsoft AD 目錄中的管理員或 AWS 委派企業憑證授權機構管理員群組。

步驟 2：設定您的憑證授權機構

啟用伺服器端 LDAPS 之前，必須先建立憑證。此憑證必須由加入 AWS Managed Microsoft AD 網域的 Microsoft 企業 CA 伺服器發行。建立後，您必須在該網域中的每個網域控制站上安裝此憑證。此憑證可讓網域控制站上的 LDAP 服務接聽並自動接受來自 LDAP 用戶端的 SSL 連線。

注意

具有 AWS Managed Microsoft AD 的伺服器端 LDAPS 不支援由獨立 CA 發行的憑證。它也不支援第三方認證機構發行的憑證。

根據您的業務需求，您有以下選擇可設定或連線到網域中的 CA：

• 建立次級 Microsoft Enterprise CA – （建議） 使用此選項，您可以在 AWS 雲端中部署次級 Microsoft Enterprise CA 伺服器。伺服器可以使用 Amazon EC2，以便與您現有的根 Microsoft CA 使用。如需如何設定次級 Microsoft 企業 CA 的詳細資訊，請參閱《如何為 Managed Microsoft AD Directory 啟用伺服器端 LDAPS》中的步驟 4：將 Microsoft 企業 CA 新增至您的 AWS Microsoft AD 目錄。 AWS

• 建立根 Microsoft 企業 CA – 使用此選項，您可以使用 Amazon EC2 在 AWS 雲端中建立根 Microsoft 企業 CA，並將其加入您的 AWS Managed Microsoft AD 網域。此根 CA 可以對您的網域控制站發出憑證。如需設定新根 CA 的詳細資訊，請參閱AWS如何為 Managed Microsoft AD Directory 啟用伺服器端 LDAPS 中的步驟 3：安裝和設定離線 CA。

如需如何將您的 EC2 執行個體加入網域的詳細資訊，請參閱「將 Amazon EC2 執行個體加入 AWS Managed Microsoft AD 的方法」。

步驟 3：建立憑證範本

設定企業 CA 之後，您可以設定 Kerberos 身分驗證憑證範本。

建立憑證範本

1. 啟動 Microsoft Windows Server Manager。選取工具 > 憑證授權機構。

2. 在憑證授權機構視窗中，展開左窗格中的憑證授權機構樹狀目錄。在憑證範本上按一下滑鼠右鍵，然後選擇管理。

3. 在憑證範本主控台視窗中，在 Kerberos 身分驗證上按一下滑鼠右鍵，然後選擇複製範本。

4. 新模板的屬性視窗將彈出。

5. 在新範本的屬性視窗中，前往相容性索引標籤，然後執行下列動作：

   1. 將憑證授權機構變更為符合 CA 的作業系統。

   2. 如果彈出產生的變更視窗，請選取確定。

   3. 將憑證收件人變更為 Windows 10 / Windows Server 2016。

      注意

      AWS Managed Microsoft AD 採用 Windows Server 2019 技術。

   4. 如果彈出產生的變更視窗，請選取確定。

6. 按一下一般索引標籤，然後將範本顯示名稱變更為 LDAPOverSSL 或您想要的任何其他名稱。

7. 按一下安全性索引標籤，然後在群組或使用者名稱區段中選擇域控制站。在域控制站權限區段中，確認已核取讀取、登錄和自動註冊的允許核取方塊。

8. 選擇確定以建立 LDAPOverSSL (或您在上面指定的名稱) 憑證範本。關閉憑證範本主控台視窗。

9. 在憑證授權機構視窗中，在憑證範本上按一下滑鼠右鍵，然後選擇新增 > 要發出的憑證範本。

10. 在啟用憑證範本視窗中，選擇 LDAPOverSSL (或您在上面指定的名稱)，然後選擇確定。

步驟 4：新增安全群組規則

在最後一個步驟中，您必須開啟 Amazon EC2 主控台並新增安全群組規則。這些規則允許您的網域控制站連線到企業 CA，以請求憑證。若要執行此作業，您可以新增輸入規則，讓企業 CA 可以接受來自網域控制站的連入流量。然後，您可以新增輸出規則，允許從網域控制站到企業 CA 的流量。

設定這兩項規則之後，您的網域控制站就會自動向企業 CA 請求憑證，並為您的目錄啟用 LDAPS。您網域控制站上的 LDAP 服務現在可以接受 LDAPS 連線。

設定安全群組規則

1. 導覽至位於 https://console.aws.amazon.com/ec2 的 Amazon EC2 主控台，然後使用管理員憑證進行登入。

2. 在左窗格的 Network & Security (網路與安全) 下，選擇 Security Groups (安全群組)。

3. 在主窗格中，選擇 CA AWS 的安全群組。

4. 選擇 Inbound (入站) 標籤，然後選擇 Edit (編輯)。

5. 在 Edit inbound rules (編輯輸入規則) 對話方塊中，執行下列動作：

   • 選擇 Add Rule (新增規則)。

   • 在 Type (類型) 選擇 All traffic (所有流量)，並在 Source (來源) 選擇 Custom (自訂)。

   • 在來源旁的方塊中輸入目錄 AWS 的安全群組 （例如 sg-123456789)。

   • 選擇 Save (儲存)。

6. 現在選擇 AWS Managed Microsoft AD 目錄 AWS 的安全群組。選擇 Outbound (輸出) 標籤，然後選擇 Edit (編輯)。

7. 在 Edit outbound rules (編輯輸出規則) 對話方塊中，執行下列動作：

   • 選擇 Add Rule (新增規則)。

   • 在 Type (類型) 選擇 All traffic (所有流量)，並在 Destination (目標) 選擇 Custom (自訂)。

   • 在目的地旁的方塊中輸入 CA AWS 的安全群組。

   • 選擇 Save (儲存)。

您可以使用 LDP 工具測試與 AWS Managed Microsoft AD 目錄的 LDAPS 連線。LDP 工具隨附於 Active Directory 管理工具。如需詳細資訊，請參閱安裝 AWS Managed Microsoft AD 的 Active Directory 管理工具。

注意

測試 LDAPS 連線之前，您最多必須等候 30 分鐘，直到次級 CA 對您的域控制站發出憑證。

如需伺服器端 LDAPS 的其他詳細資訊，並查看如何設定的範例使用案例，請參閱 AWS 安全部落格上的如何為 AWS Managed Microsoft AD Directory 啟用伺服器端 LDAPS。