Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Serverseitiges LDAPS mit AWS Managed Microsoft AD aktivieren
<a name="ms_ad_ldap_server_side"></a>

Die serverseitige Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) Unterstützung verschlüsselt die LDAP Kommunikation zwischen Ihren kommerziellen oder selbst entwickelten Anwendungen und Ihrem LDAP AWS verwalteten Microsoft AD-Verzeichnis. Dies trägt dazu bei, die Sicherheit im gesamten Netzwerk zu verbessern und die Compliance-Anforderungen mithilfe des kryptografischen Protokolls zu erfüllen. Secure Sockets Layer (SSL)

## Aktivieren Sie serverseitiges LDAPS mit AWS Private Certificate Authority
<a name="enableserversideldaps_pca"></a>

Ausführliche Anweisungen zur Einrichtung und Konfiguration serverseitiger LDAPS und Ihres CA-Servers (Certificate Authority) finden Sie unter AWS Private CA. [AWS Private CA Connector für AD für AWS Managed Microsoft AD einrichten](ms_ad_pca_connector.md)

## Aktivieren Sie serverseitiges LDAPS mithilfe von CA Microsoft
<a name="enableserversideldaps_msca"></a>

Ausführliche Anweisungen zur Einrichtung und Konfiguration serverseitiger LDAPS und Ihres Zertifizierungsstellenservers (CA) finden Sie unter [So aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) im Sicherheitsblog. AWS 

Ein Großteil der Einrichtung erfolgt über die Amazon-EC2-Instance, die Sie für die Verwaltung Ihrer Domain-Controller in AWS Managed Microsoft AD verwenden. Die folgenden Schritte führen Sie durch die Aktivierung von LDAPS für Ihre Domain in der. AWS Cloud

Wenn Sie Ihre PKI Infrastruktur mithilfe von Automatisierung einrichten möchten, können Sie die [MicrosoftPublic Key Infrastructure auf AWS QuickStart Guide](https://aws.amazon.com/quickstart/architecture/microsoft-pki/) verwenden. Insbesondere sollten Sie den Anweisungen in der Anleitung folgen, um die Vorlage für [Deploy MicrosoftPKI in eine bestehende VPC zu](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps) laden AWS. Stellen Sie nach dem Laden der Vorlage sicher, dass Sie **`AWSManaged`** auswählen, wenn Sie zur Option **Typ der Active-Directory-Domainservices** gelangen. Wenn Sie die QuickStart Anleitung verwendet haben, können Sie direkt zu dieser wechseln[Schritt 3: Eine Zertifikatvorlage erstellen](#createcustomcert).

**Topics**
+ [Schritt 1: Delegieren, wer LDAPS aktivieren kann](#grantpermsldaps)
+ [Schritt 2: Ihre Zertifizierungsstelle einrichten](#setupca)
+ [Schritt 3: Eine Zertifikatvorlage erstellen](#createcustomcert)
+ [Schritt 4: Sicherheitsgruppenregeln hinzufügen](#addgrouprules)

### Schritt 1: Delegieren, wer LDAPS aktivieren kann
<a name="grantpermsldaps"></a>

Um serverseitiges LDAPS zu aktivieren, müssen Sie Mitglied der Gruppe Admins oder AWS Delegated Enterprise Certificate Authority Administrators in Ihrem AWS verwalteten Microsoft AD-Verzeichnis sein. Alternativ können Sie der standardmäßige Administratorbenutzer sein (Admin-Konto). Wenn Sie möchten, können Sie einen anderen Benutzer als das Admin-Konto dazu veranlassen, LDAPS einzurichten. In diesem Fall fügen Sie diesen Benutzer der Gruppe Admins oder AWS Delegated Enterprise Certificate Authority Administrators in Ihrem AWS Managed Microsoft AD-Verzeichnis hinzu.

### Schritt 2: Ihre Zertifizierungsstelle einrichten
<a name="setupca"></a>

Bevor Sie serverseitiges LDAPS aktivieren können, müssen Sie ein Zertifikat erstellen. Dieses Zertifikat muss von einem Microsoft Enterprise CA Server ausgestellt werden, der mit Ihrer AWS verwalteten Microsoft AD-Domäne verbunden ist. Nachdem das Zertifikat erstellt wurde, muss es auf jedem Ihrer Domain-Controller in dieser Domain installiert werden. Mit diesem Zertifikat kann der LDAP Dienst auf den Domänencontrollern auf SSL Verbindungen von LDAP Clients warten und diese automatisch akzeptieren. 

**Anmerkung**  
Serverseitiges LDAPS mit AWS Managed Microsoft AD unterstützt keine Zertifikate, die von einer eigenständigen Zertifizierungsstelle ausgestellt wurden. Darüber hinaus unterstützt es keine Zertifikate von einer Drittanbieter-Zertifizierungsstelle.

Abhängig von Ihren geschäftlichen Anforderungen können Sie die folgenden Optionen für das Einrichten oder Herstellen einer Verbindung mit einer Zertifizierungsstelle in Ihrer Domain haben: 
+ **Einen untergeordneten Server erstellen Microsoft Enterprise CA** — (empfohlen) Mit dieser Option können Sie einen untergeordneten Microsoft Enterprise CA Server in der Cloud bereitstellen. AWS Der Server kann Amazon EC2 verwenden, sodass er mit Ihrer vorhandenen Microsoft Root-CA funktioniert. Weitere Informationen zum Einrichten eines untergeordneten Microsoft Enterprise CA Verzeichnisses finden Sie unter **Schritt 4: Hinzufügen eines Microsoft Enterprise CA zu Ihrem AWS Microsoft AD Verzeichnis** in [So aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) AD-Verzeichnis.
+ **Root erstellen Microsoft Enterprise CA** — Mit dieser Option können Sie mithilfe von Amazon EC2 ein Root Microsoft Enterprise CA in der AWS Cloud erstellen und es mit Ihrer AWS verwalteten Microsoft AD-Domain verbinden. Diese Root-Zertifizierungsstelle kann das Zertifikat für Ihren Domain-Controller ausstellen. Weitere Informationen zum Einrichten einer neuen Stammzertifizierungsstelle finden Sie unter **Schritt 3: Installieren und Konfigurieren einer Offline-Zertifizierungsstelle** unter [So aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).

Weitere Informationen darüber, wie Sie Ihre EC2-Instance mit der Domain verbinden, finden Sie unter [Möglichkeiten, eine Amazon EC2 EC2-Instance mit Ihrem AWS Managed Microsoft AD zu verbinden](ms_ad_join_instance.md).

### Schritt 3: Eine Zertifikatvorlage erstellen
<a name="createcustomcert"></a>

Nachdem Sie Ihre Enterprise CA eingerichtet haben, können Sie die Vorlage für das Kerberos Authentifizierungszertifikat konfigurieren. 

**Erstellen einer Zertifikatvorlage**

1. Starten Sie **Microsoft Windows Server Manager**. Wählen Sie **Tools > Zertifizierungsstelle** aus.

1. Erweitern Sie im Fenster **Zertifizierungsstelle** die **Zertifizierungsstellenstruktur** im linken Fensterbereich. Klicken Sie mit der rechten Maustaste auf **Zertifikatsvorlagen** und wählen Sie **Verwalten**.

1. Klicken Sie im Fenster **Konsole für Zertifikatsvorlagen** mit der rechten Maustaste auf **Kerberos-Authentifizierung** und wählen Sie **Vorlage duplizieren**.

1. Das Fenster **Eigenschaften der neuen Vorlage** wird geöffnet.

1. Gehen Sie im Fenster **Eigenschaften der neuen Vorlage** zur Registerkarte **Kompatibilität** und gehen Sie dann wie folgt vor:

   1. Ändern Sie die **Zertifizierungsstelle** auf die ZertifizierungsstelleOS, die Ihrer Zertifizierungsstelle entspricht. 

   1. Wenn ein Fenster mit den **resultierenden Änderungen** angezeigt wird, wählen Sie **OK** aus.

   1. Ändern Sie den **Zertifizierungsempfänger** auf **Windows 10/Windows Server 2016**.
**Anmerkung**  
AWS Managed Microsoft AD wird unterstützt vonWindows Server 2019.

   1. Wenn Fenster mit den **resultierenden Änderungen** angezeigt werden, wählen Sie **OK** aus.

1. Klicken Sie auf die Registerkarte **Allgemein** und ändern Sie den **Anzeigenamen der Vorlage** in **LDAPOverSSL** oder einen anderen Namen, den Sie bevorzugen.

1. Klicken Sie auf die Registerkarte **Sicherheit** und wählen Sie **Domain-Controller** im Abschnitt **Gruppen- oder Benutzernamen**. Vergewissern Sie sich im Abschnitt **Berechtigungen für Domain-Controller**, dass die **Kontrollkästchen** **Lesen**, **Registrieren** und **Auto-Registrierung** aktiviert sind.

1. Wählen Sie **OK**, um die **LDAPOverSSL-Zertifikatsvorlage** (oder den oben angegebenen Namen) zu erstellen. Schließen Sie das Fenster der **Zertifikatsvorlagen-Konsole**.

1. Klicken Sie im Fenster **Zertifizierungsstelle** mit der rechten Maustaste auf **Zertifikatsvorlagen** und wählen Sie **Neu > Zertifikatsvorlage zum Ausstellen**.

1. Wählen Sie im Fenster **Zertifikatsvorlagen aktivieren** die Option **LDAPOverSSL** (oder den Namen, den Sie oben angegeben haben) und dann **OK** aus.

### Schritt 4: Sicherheitsgruppenregeln hinzufügen
<a name="addgrouprules"></a>

Im letzten Schritt müssen Sie die Amazon-EC2-Konsole öffnen und Sicherheitsgruppenregeln hinzufügen. Diese Regeln ermöglichen es Ihren Domain-Controllern, eine Verbindung zu Ihrem herzustellenEnterprise CA, um ein Zertifikat anzufordern. Dazu fügen Sie Regeln für eingehenden Datenverkehr hinzu, sodass Sie eingehenden Datenverkehr von Ihren Domänencontrollern akzeptieren Enterprise CA können. Anschließend fügen Sie Regeln für ausgehenden Datenverkehr hinzu, um den Datenverkehr von Ihren Domänencontrollern zum zuzulassen. Enterprise CA

Sobald beide Regeln konfiguriert wurden, fordern Ihre Domänencontroller Enterprise CA automatisch ein Zertifikat von Ihnen an und aktivieren LDAPS für Ihr Verzeichnis. Der LDAP Dienst auf Ihren Domänencontrollern ist jetzt bereit, LDAPS-Verbindungen zu akzeptieren. 

**Konfigurieren von Sicherheitsgruppenregeln**

1. Navigieren Sie zu Ihrer Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) und melden Sie sich mit Administratoranmeldedaten an.

1. Wählen Sie links die Option **Security Groups** unter **Network & Security**.

1. Wählen Sie im Hauptbereich die AWS Sicherheitsgruppe für Ihre CA aus.

1. Wählen Sie die Registerkarte **Inbound (Eingehend)** und anschließend **Edit (Bearbeiten)** aus.

1. Führen Sie im Dialogfeld **Edit inbound rules** die folgenden Schritte aus:
   + Klicken Sie auf **Add Rule (Regel hinzufügen)**. 
   + Wählen Sie **All traffic** für **Type** und **Custom** für **Source**. 
   + Geben Sie die AWS Sicherheitsgruppe (z. B.`sg-123456789`) für Ihr Verzeichnis in das Feld neben **Quelle** ein. 
   + Wählen Sie **Speichern**.

1. Wählen Sie nun die AWS Sicherheitsgruppe Ihres AWS Managed Microsoft AD-Verzeichnisses aus. Wählen Sie die Registerkarte **Outbound ** und anschließend **Edit**.

1. Führen Sie im Dialogfeld **Edit outbound rules** die folgenden Schritte aus:
   + Klicken Sie auf **Add Rule (Regel hinzufügen)**. 
   + Wählen Sie **All traffic** für **Type** und **Custom** für **Destination**. 
   + Geben Sie die AWS Sicherheitsgruppe für Ihre CA in das Feld neben **Ziel** ein. 
   + Wählen Sie **Speichern**.

Mit dem LDP Tool können Sie die LDAPS-Verbindung zum AWS Managed Microsoft AD-Verzeichnis testen. Das LDP Tool wird mit dem Active Directory Administrative Tools geliefert. Weitere Informationen finden Sie unter [Installation der Active Directory-Verwaltungstools für AWS verwaltetes Microsoft AD](ms_ad_install_ad_tools.md).

**Anmerkung**  
Bevor Sie die LDAPS-Verbindung testen, müssen Sie bis zu 30 Minuten warten, bis die untergeordnete Zertifizierungsstelle ein Zertifikat für Ihre Domain-Controller ausgestellt hat.

Weitere Informationen zu serverseitigen LDAPS und ein Anwendungsbeispiel für die Einrichtung finden Sie unter So [aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) im Sicherheitsblog. AWS