翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Managed Microsoft AD を使用したサーバー側の LDAPS の有効化
<a name="ms_ad_ldap_server_side"></a>

サーバー側のLightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS)サポートは、商用または自社開発の LDAP対応アプリケーションと AWS Managed Microsoft AD ディレクトリ間のLDAP通信を暗号化します。これにより、Secure Sockets Layer (SSL) 暗号化プロトコルを使用してネットワーク全体のセキュリティを強化し、コンプライアンス要件を満たすことができます。

## を使用してサーバー側の LDAPS を有効にする AWS Private Certificate Authority
<a name="enableserversideldaps_pca"></a>

を使用してサーバー側の LDAPS と認証機関 (CA) サーバーをセットアップおよび設定する方法の詳細については AWS Private CA、「」を参照してください[AWS Managed Microsoft AD の AWS Private CA Connector for AD をセットアップする](ms_ad_pca_connector.md)。

## Microsoft CA を使用したサーバー側 LDAPS の有効化
<a name="enableserversideldaps_msca"></a>

サーバー側の LDAPS と認証機関 (CA) サーバーをセットアップおよび設定する方法の詳細については、 AWS セキュリティブログの[AWS 「 Managed Microsoft AD Directory のサーバー側の LDAPS を有効にする方法](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)」を参照してください。

ほとんどの設定は、 AWS Managed Microsoft AD ドメインコントローラーの管理に使用されている Amazon EC2 インスタンスから行う必要があります。以下の手順を通じて、 AWS クラウド上にあるドメインの LDAPS を有効化します。

オートメーションを使用してPKIインフラストラクチャを設定する場合は、[Microsoft「パブリックキーインフラストラクチャ on AWS QuickStart ガイド](https://aws.amazon.com/quickstart/architecture/microsoft-pki/)」を使用できます。具体的には、「[Deploy MicrosoftPKI into an existing VPC on AWS](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps)」で、テンプレートをロードする方法に関するガイドの指示に従います。テンプレートをロードした場合には、**[Active Directory Domain Services Type]** (Active Directory ドメインのサービスタイプ) のオプション設定時に、必ず **`AWSManaged`** を選択します。QuickStart ガイドを使用している場合は、直接 [ステップ 3: 証明書テンプレートを作成する](#createcustomcert) に移動できます。

**Topics**
+ [ステップ 1: LDAPS を有効化する権限を委任する](#grantpermsldaps)
+ [ステップ 2: 認証機関を設定する](#setupca)
+ [ステップ 3: 証明書テンプレートを作成する](#createcustomcert)
+ [ステップ 4: セキュリティグループのルールを追加する](#addgrouprules)

### ステップ 1: LDAPS を有効化する権限を委任する
<a name="grantpermsldaps"></a>

サーバー側の LDAPS を有効にするには、 AWS Managed Microsoft AD ディレクトリの管理者または AWS 委任されたエンタープライズ認証機関管理者グループのメンバーである必要があります。または、デフォルトの管理ユーザー (管理者アカウント) であれば、この権限を保持しています。必要に応じて、LDAPS を設定するために、管理者アカウント以外のユーザーを使用することができます。この場合、そのユーザーを AWS Managed Microsoft AD ディレクトリの管理者または AWS 委任されたエンタープライズ認証機関管理者グループに追加します。

### ステップ 2: 認証機関を設定する
<a name="setupca"></a>

サーバー側の LDAPS を有効にする前に、証明書を作成する必要があります。この証明書は、 AWS Managed Microsoft AD ドメインに参加している Microsoft Enterprise CA サーバーによって発行される必要があります。作成された証明書は、対象ドメインの各ドメインコントローラーにインストールします。この証明書により、ドメインコントローラーの LDAP サービスは LDAP クライアントからの SSL 接続をリッスンし、自動的に承認できます。

**注記**  
 AWS Managed Microsoft AD を使用したサーバー側の LDAPS は、スタンドアロン CA によって発行された証明書をサポートしていません。また、サードパーティーの認証機関により発行された証明書もサポートしていません。

ドメインの CA の設定または接続には、ビジネスのニーズに応じて以下のオプションを使い分けることができます。
+ **下位サーバーの作成 Microsoft Enterprise CA** – (推奨) このオプションを使用すると、 AWS クラウドに下位MicrosoftEnterprise CAサーバーをデプロイできます。サーバーは、Amazon EC2 を使用することで、既存のルート Microsoft との連携が可能です。下位 を設定する方法の詳細についてはMicrosoftEnterprise CA、「 Managed Microsoft AD ** AD Directory の AWS Microsoftサーバー側の LDAPS を有効にする方法」の「ステップ 4: ディレクトリMicrosoftEnterprise CAに を追加する**」を参照してください。 [AWS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)
+ **ルートの作成 Microsoft Enterprise CA** – このオプションを使用すると、Amazon EC2 を使用して AWS クラウドMicrosoftEnterprise CAにルートを作成し、 AWS Managed Microsoft AD ドメインに結合できます。このルート CA からは、ドメインコントローラーに対し証明書を発行できます。新しいルート CA の設定の詳細については、「 Managed Microsoft AD Directory のサーバー側の LDAPS を有効にする方法」の**「ステップ 3: オフライン CA をインストールして設定**する」を参照してください。 [AWS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)

EC2 インスタンスをドメインに結合する方法の詳細については、「[Amazon EC2 インスタンスを AWS Managed Microsoft AD に結合する方法](ms_ad_join_instance.md)」を参照してください。

### ステップ 3: 証明書テンプレートを作成する
<a name="createcustomcert"></a>

Enterprise CA の設定後は、Kerberos 認証証明書テンプレートを設定することが可能になります。

**証明書テンプレートを作成するには**

1. **Microsoft Windows サーバーマネージャー** を起動します。**[Tools > Certification Authority]** (ツール > 認証機関) をクリックします。

1. **[Certificate Authority]** (認証機関) ウィンドウで、左サイドペインにある **[Certificate Authority]** (認証機関) ツリーを展開します。**[Certificate Templates]** (証明書テンプレート) を右クリックし、**[Manage]** (管理) を選択します。

1. **[Certificate Templates Console]** (証明書テンプレートコンソール) ウィンドウで、**[Kerberos Authentication]** (Kerberos 認証) を右クリックし、**[Duplicate Template]** (テンプレートの複製) を選択します。

1. **[Properties of New Template] ** (新しいテンプレートのプロパティ) ウィンドウがポップアップ表示されます。

1. **[Properties of New Template]** (新しいテンプレートのプロパティ) ウィンドウで、**[Compatibility]** (互換性) のタブを開いた上で以下を実行します。

   1. **[認証機関]** を CA に適合する OS に変更します。

   1. **[Resulting changes]** (変更の結果) ウィンドウが表示されたら、**[OK]** をクリックします。

   1. **[認証の受信者]** を **[Windows 10/Windows Server 2016]** に変更します。
**注記**  
AWS Managed Microsoft AD は を利用していますWindows Server 2019。

   1. **[Resulting changes]** (変更の結果) ウィンドウが表示されたら、**[OK]** をクリックします。

1. **[General]** (一般) タブをクリックし、**[Template display name]** (テンプレートの表示名) を、「**LDAPOverSSL**」、または自分が選択した他の名前に変更します。

1. **[Security]** (セキュリティ) タブを開き、**[Group or user names]** (グループ名またはユーザー名) セクションで、**[Domain Controllers]** (ドメイン コントローラー) を選択します。**[ドメインコントローラーのアクセス許可]** セクションで、**[読み取り]**、**[登録]**、**[自動登録]** の **[許可]** チェックボックスが、それぞれオンになっていることを確認します。

1. **[OK]** をクリックして、「**LDAPOverSSL**」(または先に指定した独自の名前) として証明書テンプレートを作成します。**[Certificate Templates Console]** (証明書テンプレートコンソール) ウィンドウを閉じます。

1. **[Certificate Authority]** (認証機関) ウィンドウで、**[Certificate Templates]** (証明書テンプレート) を右クリックした上で、**[New > Certificate Template to Issue]** (新規 > 発行する証明書テンプレート) を選択します。

1. **[Enable Certificate Templates]** (証明書テンプレートの有効化) ウィンドウで、「**LDAPOverSSL**」(または先に指定した名前) を選択し、**[OK]** をクリックします。

### ステップ 4: セキュリティグループのルールを追加する
<a name="addgrouprules"></a>

最後のステップでは、Amazon EC2 コンソールを開き、セキュリティグループのルールを追加する必要があります。これらのルールにより、ドメインコントローラは Enterprise CA に接続して証明書をリクエストできるようになります。これを行うには、ドメインコントローラーからの着信トラフィックを Enterprise CA が承認できるように、インバウンドのルールを追加します。次に、アウトバウンドのルールを追加して、ドメインコントローラーから Enterprise CA へのトラフィックを許可します。

両方のルールが設定されると、ドメインコントローラーは、Enterprise CA に対し証明書を自動的にリクエストし、さらにディレクトリの LDAPS を有効化します。これでドメインコントローラーの LDAP サービスで LDAPS 接続を受け入れる準備が整いました。

**セキュリティグループのルールを設定するには**

1. Amazon EC2 コンソール ([https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2)) にアクセスし、管理者の認証情報を使用してサインインを行います。

1. 左側のペインで、**[Network & Security]** (ネットワークとセキュリティ) の **[Security Groups]** (セキュリティセキュリティグループ) をクリックします。

1. メインペインで、CA AWS のセキュリティグループを選択します。

1. **[Inbound]** (インバウンド) タブを開き、**[Edit]** (編集) をクリックします。

1. **Edit inbound rules** (インバウンドのルールの編集) ダイアログボックスで、次の操作を行います。
   + **[Add Rule]** (ルールの追加) をクリックします。
   + **[Type]** (タイプ) では **[All traffic]** (すべてのトラフィック) を、**[Source]** (送信元) では **[Custom]** (カスタム) をそれぞれ選択します。
   + **ソース**の横にあるボックスに、ディレクトリ AWS のセキュリティグループ ( など`sg-123456789`) を入力します。
   + **[保存]** を選択します。

1. 次に、 AWS Managed Microsoft AD ディレクトリ AWS のセキュリティグループを選択します。**[Outbound]** (アウトバウンド) タブを開き、**[Edit]** (編集) をクリックします。

1. **[Edit outbound rules]** (アウトバウンドルールの編集) ダイアログボックスで、次の操作を行います。
   + **[Add Rule]** (ルールの追加) をクリックします。
   + **[Type]** (タイプ) では **[All traffic]** (すべてのトラフィック) を、**[Destination]** (送信先) では **[Custom]** (カスタム) をそれぞれ選択します。
   + 送信**先**の横にあるボックスに CA AWS のセキュリティグループを入力します。
   + **[保存]** を選択します。

LDP ツールを使用して AWS Managed Microsoft AD ディレクトリへの LDAPS 接続をテストできます。LDP ツールには Active Directory Administrative Tools が付属しています。詳細については、「[AWS Managed Microsoft AD 用の Active Directory 管理ツールのインストール](ms_ad_install_ad_tools.md)」を参照してください。

**注記**  
LDAPS 接続をテストする前に、下位 CA からドメインコントローラーに証明書が発行されるまで、最大 30 分間待機する必要があります。

サーバー側の LDAPS の詳細については、セキュリティ AWS ブログの[AWS 「 Managed Microsoft AD Directory でサーバー側の LDAPS を有効にする](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)方法」を参照してください。