Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Abilitazione del protocollo LDAPS lato client utilizzando Managed Microsoft AD AWS
<a name="ms_ad_ldap_client_side"></a>

Il supporto Lightweight Directory Access Protocol Secure Sockets Layer (SSL) /Transport Layer Security (TLS) (LDAPS) sul lato client in AWS Managed Microsoft AD crittografa le comunicazioni tra Microsoft Active Directory (AD) autogestita (locale) e le applicazioni. AWS Esempi di tali applicazioni includono WorkSpaces AWS IAM Identity Center, Quick e Amazon Chime. Questa crittografia ti aiuta a proteggere meglio i dati di identità della tua organizzazione e a soddisfare i tuoi requisiti di sicurezza.

## Prerequisiti
<a name="ldap_client_side_prerequisites"></a>

Prima di abilitare LDAPS lato client, è necessario soddisfare i seguenti requisiti.

**Topics**
+ [Crea una relazione di fiducia tra AWS Managed Microsoft AD e Microsoft Active Directory autogestito](#trust_relationship_MAD_and_self_managed)
+ [Distribuire certificati server in Active Directory](#ldap_client_side_deploy_server_certs)
+ [Requisiti dei certificati dell'Autorità di certificazione](#ldap_client_side_get_certs_ready)
+ [Requisiti di rete](#ldap_client_side_considerations_enabling)

### Crea una relazione di fiducia tra AWS Managed Microsoft AD e Microsoft Active Directory autogestito
<a name="trust_relationship_MAD_and_self_managed"></a>

Innanzitutto, è necessario stabilire una relazione di fiducia tra Microsoft AD AWS gestito e Microsoft Active Directory autogestito per abilitare il protocollo LDAPS lato client. Per ulteriori informazioni, consulta [Creazione di una relazione di fiducia tra AWS Managed Microsoft AD e AD autogestito](ms_ad_setup_trust.md).

### Distribuire certificati server in Active Directory
<a name="ldap_client_side_deploy_server_certs"></a>

Per abilitare LDAPS lato client, è necessario ottenere e installare i certificati server per ogni controller di dominio in Active Directory. Questi certificati verranno utilizzati dal servizio LDAP per ascoltare e accettare automaticamente connessioni SSL dai client LDAP. È possibile utilizzare certificati SSL emessi da una distribuzione interna di Active Directory Certificate Services (ADCS) o acquistati da un’emittente commerciale. Per ulteriori informazioni sui requisiti dei certificati server Active Directory, vedere il certificato [LDAP su SSL (LDAPS)](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx) sul sito Web Microsoft.

### Requisiti dei certificati dell'Autorità di certificazione
<a name="ldap_client_side_get_certs_ready"></a>

Un certificato di autorità di certificazione (CA), che rappresenta l'emittente dei certificati server, è necessario per l'operazione LDAPS lato client. I certificati CA sono abbinati ai certificati server presentati dai controller di dominio Active Directory per crittografare le comunicazioni LDAP. Tenere presenti i seguenti requisiti del certificato CA:
+ L'Enterprise Certification Authority (CA) è necessaria per abilitare il protocollo LDAPS lato client. È possibile utilizzare Active Directory Certificate Service, un'autorità di certificazione commerciale di terze parti oppure. [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) Per ulteriori informazioni su Microsoft Enterprise Certificate Authority, consulta [Microsoftla documentazione](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc875810(v=technet.10)?redirectedfrom=MSDN).
+  Per registrare un certificato, sono necessari più di 90 giorni dalla scadenza.
+ I certificati devono essere in formato PEM (Privacy-Enhanced Mail). Se si esportano certificati CA da Active Directory, scegliere il formato di file di esportazione con codifica Base64 X.509 (.CER).
+ È possibile archiviare un massimo di cinque (5) certificati CA per directory Microsoft AD AWS gestita.
+ I certificati che utilizzano l'algoritmo di firma RSASSA-PSS non sono supportati.
+ I certificati CA che concatenano ogni certificato server a ogni dominio trusted devono essere registrati.

### Requisiti di rete
<a name="ldap_client_side_considerations_enabling"></a>

AWS il traffico LDAP delle applicazioni verrà eseguito esclusivamente sulla porta TCP 636, senza alcun fallback sulla porta LDAP 389. Tuttavia, le comunicazioni LDAP di Windows che supportano replica, trust e altro ancora continueranno a utilizzare la porta LDAP 389 con protezione nativa di Windows. Configura i gruppi AWS di sicurezza e i firewall di rete per consentire le comunicazioni TCP sulla porta 636 in Managed AWS Microsoft AD (in uscita) e Active Directory autogestita (in entrata). Lascia aperta la porta LDAP 389 tra Microsoft AD gestito da AWS e Active Directory autogestita.

## Abilita LDAPS lato client
<a name="enableclientsideldaps"></a>

Per abilitare LDAPS lato client, è possibile importare il certificato di autorità di certificazione (CA) in Microsoft AD gestito da AWS e quindi abilitare LDAPS nella directory. All'attivazione, tutto il traffico LDAP tra applicazioni AWS e l'AD gestita dal cliente verranno trasmessi con crittografia del canale Secure Sockets Layer (SSL).

Sono disponibili due metodi diversi per abilitare LDAPS lato client per la directory. È possibile utilizzare il metodo o il metodo. Console di gestione AWS AWS CLI 

**Nota**  
LDAPS lato client è una funzionalità regionale di Managed AWS Microsoft AD. Se si utilizza la [replica multiarea](ms_ad_configure_multi_region_replication.md), le seguenti procedure devono essere applicate separatamente in ciascuna regione. Per ulteriori informazioni, consulta [Funzionalità globali e regionali](multi-region-global-region-features.md).

**Topics**
+ [Fase 1: Registrare un certificato in Directory Service](#ms_ad_registercert)
+ [Fase 2: controllare lo stato della registrazione](#ms_ad_check-registration-status)
+ [Fase 3: abilitare LDAPS lato client](#ms_ad_enableclientsideldapssteps)
+ [Fase 4: controllare lo stato LDAPS](#ms_ad_check-ldaps-status)

### Fase 1: Registrare un certificato in Directory Service
<a name="ms_ad_registercert"></a>

Utilizza uno dei seguenti metodi per registrare un certificato in Directory Service.

**Metodo 1: Per registrare il certificato in Directory Service (Console di gestione AWS)**

1. Nel riquadro di navigazione della [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleziona **Directory**.

1. Seleziona il collegamento dell'ID per la tua directory.

1. Nella pagina **Dettaglio report**, procedi in uno dei seguenti modi:
   + Se nella sezione **Replica multi regione** sono visualizzate più Regioni, seleziona quella in cui vuoi registrare il certificato, quindi scegli la scheda **Rete e sicurezza**. Per ulteriori informazioni, consulta [Regioni primarie e regioni aggiuntive](multi-region-global-primary-additional.md).
   + Se non hai alcuna regione visualizzata in **replica multiregione**, scegli la scheda **Rete e sicurezza**.

1. Nella sezione **Client-side LDAPS (LDAPS lato client)** selezionare il menu **Actions (Operazioni)** e quindi selezionare **Register certificate (Registra certificato)**.

1. Nella finestra di dialogo **Register a CA certificate (Registra un certificato CA)** selezionare **Browse (Sfoglia)**, quindi selezionare il certificato e scegliere **Open (Apri)**.

1. Scegliere **Register certificate (Registra certificato)**.

**Metodo 2: registrare il certificato in Directory Service (AWS CLI)**
+ Eseguire il seguente comando seguente. Per i dati del certificato, scegliere il percorso del file del certificato CA. Nella risposta verrà fornito un ID certificato.

  ```
  aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
  ```

### Fase 2: controllare lo stato della registrazione
<a name="ms_ad_check-registration-status"></a>

Per visualizzare lo stato di una registrazione di certificati o di un elenco di certificati registrati, utilizzare uno dei seguenti metodi.

**Metodo 1: controllare lo stato di registrazione del certificato in Directory Service (Console di gestione AWS)**

1. Andare alla sezione **Client-side LDAPS (LDAPS lato client)** nella pagina dei **Directory details (Dettagli della directory)**.

1. Esaminare lo stato di registrazione del certificato corrente visualizzato nella colonna **Registration status (Stato registrazione)**. Quando il valore dello stato di registrazione cambia in **Registered (Registrato)**, il certificato è stato registrato.

**Metodo 2: Per controllare lo stato di registrazione del certificato in Directory Service (AWS CLI)**
+ Eseguire il seguente comando seguente. Se il valore dello stato restituisce `Registered`, il certificato è stato registrato.

  ```
  aws ds list-certificates --directory-id your_directory_id
  ```

### Fase 3: abilitare LDAPS lato client
<a name="ms_ad_enableclientsideldapssteps"></a>

Utilizzate uno dei seguenti metodi per abilitare l'accesso LDAPS lato client. Directory Service

**Nota**  
Devi aver registrato almeno un certificato prima di poter abilitare LDAPS lato client.

**Metodo 1: Per abilitare LDAPS lato client in () Directory Service Console di gestione AWS**

1. Andare alla sezione **Client-side LDAPS (LDAPS lato client)** nella pagina dei **Directory details (Dettagli della directory)**.

1. Scegli **Abilita **. Se questa opzione non è disponibile, verificare che un certificato valido sia stato registrato e riprovare.

1. Nella finestra di dialogo **Enable client-side LDAPS (Abilita LDAPS lato client)** scegliere **Enable (Abilita)**.

**Metodo 2: Per abilitare LDAPS lato client in () Directory Service AWS CLI**
+ Eseguire il seguente comando seguente.

  ```
  aws ds enable-ldaps --directory-id your_directory_id --type Client
  ```

### Fase 4: controllare lo stato LDAPS
<a name="ms_ad_check-ldaps-status"></a>

Utilizzate uno dei seguenti metodi per verificare lo stato LDAPS. Directory Service

**Metodo 1: per controllare lo stato LDAPS in Directory Service ()Console di gestione AWS**

1. Andare alla sezione **Client-side LDAPS (LDAPS lato client)** nella pagina dei **Directory details (Dettagli della directory)**.

1. Se il valore dello stato visualizzato è **Enabled (Abilitato)**, LDAPS è stato configurato.

**Metodo 2: Per controllare lo stato LDAPS in Directory Service ()AWS CLI**
+ Eseguire il seguente comando seguente. Se il valore di stato restituisce `Enabled`, LDAPS è stato configurato.

  ```
  aws ds describe-ldaps-settings –-directory-id your_directory_id
  ```

## Gestire LDAPS lato client
<a name="ms_ad_manage-client-side-ldaps"></a>

Utilizzare questi comandi per gestire la configurazione LDAPS.

Sono disponibili due metodi diversi per gestire le impostazioni LDAPS lato client. È possibile utilizzare il Console di gestione AWS metodo o il AWS CLI metodo.

### Visualizzare i dettagli del certificato
<a name="ms_ad_describe-a-certificate"></a>

Utilizza uno dei seguenti metodi per vedere quando scade un certificato.

**Metodo 1: per visualizzare i dettagli del certificato in Directory Service (Console di gestione AWS)**

1. Nel riquadro di navigazione della [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleziona **Directory**.

1. Seleziona il collegamento dell'ID per la tua directory.

1. Nella pagina **Dettaglio report**, procedi in uno dei seguenti modi:
   + Se nella sezione **Replica multi regione** sono visualizzate più Regioni, seleziona quella in cui vuoi visualizzare il certificato, quindi scegli la scheda **Rete e sicurezza**. Per ulteriori informazioni, consulta [Regioni primarie e regioni aggiuntive](multi-region-global-primary-additional.md).
   + Se non hai alcuna regione visualizzata in **replica multiregione**, scegli la scheda **Rete e sicurezza**.

1. Nella sezione **Client-side LDAPS (LDAPS lato client)**, le informazioni sul certificato verranno visualizzate in **CA certificates (Certificati CA)**.

**Metodo 2: Per visualizzare i dettagli del certificato in Directory Service (AWS CLI)**
+ Eseguire il seguente comando seguente. Per l'ID del certificato, utilizzare l'identificatore restituito da `register-certificate` o `list-certificates`. 

  ```
  aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
  ```

### Annullare la registrazione di un certificato
<a name="ms_ad_dergister-a-certificate"></a>

Utilizza uno dei seguenti metodi per annullare la registrazione di un certificato.

**Nota**  
Se è registrato un solo certificato, è necessario disabilitare LDAPS prima di poter annullare la registrazione del certificato.

**Metodo 1: annullare la registrazione di un certificato in Directory Service ()Console di gestione AWS**

1. Nel riquadro di navigazione della [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleziona **Directory**.

1. Seleziona il collegamento dell'ID per la tua directory.

1. Nella pagina **Dettaglio report**, procedi in uno dei seguenti modi:
   + Se nella sezione **Replica multi regione** sono visualizzate più Regioni, seleziona quella in cui vuoi annullare la registrazione di un certificato, quindi scegli la scheda **Rete e sicurezza**. Per ulteriori informazioni, consulta [Regioni primarie e regioni aggiuntive](multi-region-global-primary-additional.md).
   + Se non hai alcuna regione visualizzata in **replica multiregione**, scegli la scheda **Rete e sicurezza**.

1. Nella sezione **Client-side LDAPS (LDAPS lato client)** selezionare il menu **Actions (Operazioni)** e quindi selezionare **Deregister certificate (Annulla registrazione certificato)**.

1. Nella finestra di dialogo **Deregister a CA certificate (Annulla la registrazione di un certificato CA)** scegliere **Deregister (Annulla registrazione)**.

**Metodo 2: annullare la registrazione di un certificato in () Directory Service AWS CLI**
+ Eseguire il seguente comando seguente. Per l'ID del certificato, utilizzare l'identificatore restituito da `register-certificate` o `list-certificates`. 

  ```
  aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
  ```

### Disabilitare LDAPS lato client
<a name="ms_ad_disable-client-side-ldaps"></a>

Utilizza uno dei seguenti metodi per disabilitare LDAPS lato client.

**Metodo 1: disabilitare LDAPS lato client in () Directory Service Console di gestione AWS**

1. Nel riquadro di navigazione della [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleziona **Directory**.

1. Seleziona il collegamento dell'ID per la tua directory.

1. Nella pagina **Dettaglio report**, procedi in uno dei seguenti modi:
   + Se nella sezione **Replica multi regione** sono visualizzate più Regioni, seleziona quella in cui vuoi disabilitare LDAPS lato client, quindi scegli la scheda **Rete e sicurezza**. Per ulteriori informazioni, consulta [Regioni primarie e regioni aggiuntive](multi-region-global-primary-additional.md).
   + Se non hai alcuna regione visualizzata in **replica multiregione**, scegli la scheda **Rete e sicurezza**.

1. Nella sezione **Client-side LDAPS (LDAPS lato client)** scegliere **Disable (Disabilita)**.

1. Nella finestra di dialogo **Disable client-side LDAPS (Disabilita LDAPS lato client)** scegliere **Disable (Disabilita)**.

**Metodo 2: disabilitare LDAPS lato client in () Directory Service AWS CLI**
+ Eseguire il seguente comando seguente.

  ```
  aws ds disable-ldaps --directory-id your_directory_id --type Client
  ```

## Problemi relativi alla registrazione dei certificati
<a name="certificate_enrollment_issue"></a>

Il processo di registrazione dei controller di dominio Microsoft AD AWS gestiti con i certificati CA può richiedere fino a 30 minuti. Se riscontri problemi con la registrazione del certificato e desideri riavviare i controller di dominio AWS Microsoft AD gestiti, puoi contattare. Supporto Per creare un caso di supporto, vedi [Creazione di casi di supporto e gestione dei casi](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html).