使用 AWS Managed Microsoft AD 啟用伺服器端 LDAPS - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Managed Microsoft AD 啟用伺服器端 LDAPS

伺服器端 LDAPS 支援會將您的商業或自製可運用 LDAP 的應用程式與您的 AWS Managed Microsoft AD 目錄之間的 LDAP 通訊加密。這有助於使用 Secure Sockets Layer (SSL) 加密通訊協定提升網路上的安全,並符合合規要求。

啟用伺服器端 LDAPS

如需如何設定伺服器端 LDAPS 及憑證授權機構 (CA) 伺服器的詳細說明,請參閱 AWS 安全部落格上的 How to Enable Server-Side LDAPS for Your AWS Managed Microsoft AD Directory 一文。

您必須從用來管理 AWS Managed Microsoft AD 域控制站的 Amazon EC2 執行個體,進行大部分的設定。下列步驟將引導您為 AWS 雲端中的網域啟用 LDAPS。

如果您想要使用自動化來設定 PKI 基礎架構,可以使用《AWS 上的 Microsoft 公開金鑰基礎架構快速入門》。具體而言,您可以遵循指南中的指示,載入 Deploy Microsoft PKI into an existing VPC on AWS 的範本。載入範本之後,針對 Active Directory Domain Services Type 選項,請務必選擇 AWSManaged。如果您使用快速指南,則可以直接跳至 步驟 3:建立憑證範本

步驟 1:委派可啟用 LDAPS 的人員

若要啟用伺服器端 LDAPS,您必須是 AWS Managed Microsoft AD 目錄中 Admins 或 AWS 委派的企業憑證授權機構管理員群組的成員。或者,您可以是預設管理使用者 (Admin 帳戶)。如果您想要的話,您可以讓 Admin 帳戶以外的使用者設定 LDAPS。在這種情況下,請將該使用者新增至 AWS Managed Microsoft AD 目錄中的 Admins 或 AWS 委派的企業憑證授權機構管理員群組的成員。

步驟 2:設定您的憑證授權機構

啟用伺服器端 LDAPS 之前,必須先建立憑證。此憑證必須由加入您 AWS Managed Microsoft AD 域之 Microsoft 企業 (CA) 發行的憑證。建立後,您必須在該網域中的每個網域控制站上安裝此憑證。此憑證可讓網域控制站上的 LDAP 服務接聽並自動接受來自 LDAP 用戶端的 SSL 連線。

注意

AWS Managed Microsoft AD 的伺服器端 LDAPS 不支援由獨立 CA 發行的憑證。它也不支援第三方認證機構發行的憑證。

根據您的業務需求,您有以下選擇可設定或連線到網域中的 CA:

  • 建立次級 Microsoft 企業 CA – (建議) 透過此選項,您可以在 AWS 雲端中部署次級 Microsoft 企業 CA 伺服器。伺服器可以使用 Amazon EC2,以便與您現有的根 Microsoft CA 使用。如需有關如何設定從屬 Microsoft 企業 CA 的詳細資訊,請參閱 How to Enable Server-Side LDAPS for Your AWS Managed Microsoft AD Directory 一文中的 Step 4: Add a Microsoft Enterprise CA to your AWS Microsoft AD directory 一節。

  • 建立根 Microsoft 企業 CA – 透過此選項,您可以在使用 Amazon EC2 在 AWS 雲端中建立根 Microsoft 企業 CA,並加入您的 AWS Managed Microsoft AD 域。此根 CA 可以對您的網域控制站發出憑證。如需設定新根 CA 的相關資訊,請參閱 How to Enable Server-Side LDAPS for Your AWS Managed Microsoft AD Directory 一文中的 Step 3: Install and configure an offline CA 一節。

如需如何將您的 EC2 執行個體加入網域的詳細資訊,請參閱「將 Amazon EC2 實例加入到您的AWS受管 Microsoft AD 活動目錄」。

步驟 3:建立憑證範本

設定企業 CA 之後,您可以設定 Kerberos 身分驗證憑證範本。

建立憑證範本
  1. 啟動 Microsoft Windows Server Manager。選取工具 > 憑證授權機構

  2. 憑證授權機構視窗中,展開左窗格中的憑證授權機構樹狀目錄。在憑證範本上按一下滑鼠右鍵,然後選擇管理

  3. 憑證範本主控台視窗中,在 Kerberos 身分驗證上按一下滑鼠右鍵,然後選擇複製範本

  4. 新模板的屬性視窗將彈出。

  5. 新範本的屬性視窗中,前往相容性索引標籤,然後執行下列動作:

    1. 憑證授權機構變更為符合 CA 的作業系統。

    2. 如果彈出產生的變更視窗,請選取確定

    3. 變更憑證接收者Windows 10 / Windows Server 2019

      注意

      AWS Managed Microsoft AD 由 Windows Server 2019 提供。

    4. 如果彈出產生的變更視窗,請選取確定

  6. 按一下一般索引標籤,然後將範本顯示名稱變更為 LDAPOverSSL 或您想要的任何其他名稱。

  7. 按一下安全性索引標籤,然後在群組或使用者名稱區段中選擇域控制站。在域控制站權限區段中,確認已核取讀取登錄自動註冊允許核取方塊。

  8. 選擇確定以建立 LDAPOverSSL (或您在上面指定的名稱) 憑證範本。關閉憑證範本主控台視窗。

  9. 憑證授權機構視窗中,在憑證範本上按一下滑鼠右鍵,然後選擇新增 > 要發出的憑證範本

  10. 啟用憑證範本視窗中,選擇 LDAPOverSSL (或您在上面指定的名稱),然後選擇確定

步驟 4:新增安全群組規則

在最後一個步驟中,您必須開啟 Amazon EC2 主控台並新增安全群組規則。這些規則允許您的網域控制站連線到企業 CA,以請求憑證。若要執行此作業,您可以新增輸入規則,讓企業 CA 可以接受來自網域控制站的連入流量。然後,您可以新增輸出規則,允許從網域控制站到企業 CA 的流量。

設定這兩項規則之後,您的網域控制站就會自動向企業 CA 請求憑證,並為您的目錄啟用 LDAPS。您網域控制站上的 LDAP 服務現在可以接受 LDAPS 連線。

設定安全群組規則
  1. 導覽至位於 https://console.aws.amazon.com/ec2 的 Amazon EC2 主控台,然後使用管理員憑證進行登入。

  2. 在左窗格的 Network & Security (網路與安全) 下,選擇 Security Groups (安全群組)。

  3. 在主要窗格中,選擇您 CA 的 AWS 安全群組

  4. 選擇 Inbound (入站) 標籤,然後選擇 Edit (編輯)。

  5. Edit inbound rules (編輯輸入規則) 對話方塊中,執行下列動作:

    • 選擇 Add Rule (新增規則)。

    • Type (類型) 選擇 All traffic (所有流量),並在 Source (來源) 選擇 Custom (自訂)。

    • 在來源旁邊的方塊中輸入目錄的 AWS 安全群組 (例如 sg-123456789)。

    • 選擇 Save (儲存)。

  6. 現在,選擇您 AWS Managed Microsoft AD 目錄的 AWS 安全群組。選擇 Outbound (輸出) 標籤,然後選擇 Edit (編輯)。

  7. Edit outbound rules (編輯輸出規則) 對話方塊中,執行下列動作:

    • 選擇 Add Rule (新增規則)。

    • Type (類型) 選擇 All traffic (所有流量),並在 Destination (目標) 選擇 Custom (自訂)。

    • 在 AWSDestination (目標) 旁的方塊中,輸入您 CA 的 安全群組。

    • 選擇 Save (儲存)。

您可以使用 LDP 工具測試 AWS Managed Microsoft AD 目錄的 LDAPS 連線。LDP 工具隨附於 Active Directory 管理工具。如需更多詳細資訊,請參閱 安裝適用於AWS受管理 Microsoft AD 的活動目錄管理工具

注意

測試 LDAPS 連線之前,您最多必須等候 30 分鐘,直到次級 CA 對您的域控制站發出憑證。

如需伺服器端 LDAPS 的其他詳細資訊,以及如何設定的使用案例範例,請參閱 AWS 安全部落格上的 How to Enable Server-Side LDAPS for Your AWS Managed Microsoft AD Directory 一文。