As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilitando o LDAPS do lado do servidor usando o Microsoft AD gerenciado AWS
<a name="ms_ad_ldap_server_side"></a>

O Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) suporte do lado do servidor criptografa as LDAP comunicações entre seus LDAP aplicativos comerciais ou internos e seu diretório gerenciado do Microsoft AD. AWS Isso ajuda a aumentar a segurança em toda a rede e atender aos requisitos de conformidade usando o protocolo criptográfico Secure Sockets Layer (SSL).

## Habilite o LDAPS do lado do servidor usando Autoridade de Certificação Privada da AWS
<a name="enableserversideldaps_pca"></a>

Para obter instruções detalhadas sobre como instalar e configurar o LDAPS do lado do servidor e seu servidor de autoridade de certificação (CA) usando, consulte. CA Privada da AWS[Configurar o CA Privada da AWS conector para AD para Microsoft AD AWS gerenciado](ms_ad_pca_connector.md)

## Habilitar o LDAPS no lado do servidor usando Microsoft CA
<a name="enableserversideldaps_msca"></a>

Para obter instruções detalhadas sobre como instalar e configurar o LDAPS do lado do servidor e seu servidor de autoridade de certificação (CA), consulte [Como habilitar o LDAPS do lado do servidor para seu diretório AWS gerenciado do Microsoft](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) AD no blog de segurança. AWS 

Você deve fazer a maior parte da configuração da instância do Amazon EC2 que você usa para gerenciar os controladores de domínio do AWS Managed Microsoft AD. As etapas a seguir guiarão você pelo processo de habilitar o LDAPS no domínio da Nuvem AWS.

Se quiser usar a automação para configurar sua PKI infraestrutura, você pode usar a [infraestrutura de chave Microsoft pública no AWS QuickStart Guide](https://aws.amazon.com/quickstart/architecture/microsoft-pki/). Especificamente, você deve seguir as instruções no guia para carregar o modelo para [Implantar a MicrosoftPKI em uma VPC existente na AWS](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps). Depois de carregar o modelo, certifique-se de escolher **`AWSManaged`** ao acessar a opção **Tipo de serviços de domínio do Active Directory**. Se você usou o QuickStart guia, você pode pular diretamente para[Etapa 3: Criar um modelo de certificado](#createcustomcert).

**Topics**
+ [Etapa 1: delegar quem pode habilitar o LDAPS](#grantpermsldaps)
+ [Etapa 2: configurar a autoridade de certificação](#setupca)
+ [Etapa 3: Criar um modelo de certificado](#createcustomcert)
+ [Etapa 4: adicionar regras do grupo de segurança](#addgrouprules)

### Etapa 1: delegar quem pode habilitar o LDAPS
<a name="grantpermsldaps"></a>

Para habilitar o LDAPS do lado do servidor, você deve ser membro do grupo Administradores ou Administradores da Autoridade Certificadora Empresarial AWS Delegada em seu diretório gerenciado do Microsoft AD. AWS Como opção, você pode ser o usuário administrativo padrão (conta de administrador). Se preferir, você poderá ter um usuário diferente do LDAPS de configuração da conta de administrador. Nesse caso, adicione esse usuário ao grupo Administradores ou Administradores da Autoridade de Certificação Empresarial AWS Delegada em seu diretório gerenciado do AWS Microsoft AD.

### Etapa 2: configurar a autoridade de certificação
<a name="setupca"></a>

Antes de habilitar o LDAPS no lado do servidor, você deve criar um certificado. Esse certificado precisa ser emitido por um servidor Microsoft Enterprise CA que esteja associado ao domínio do AWS Managed Microsoft AD. Depois de criado, o certificado deve ser instalado em cada um dos controladores de domínio no domínio. Este certificado permite que o serviço LDAP em controladores de domínio escute e aceite automaticamente conexões SSL de clientes LDAP. 

**nota**  
O LDAPS do lado do servidor com AWS Microsoft AD gerenciado não oferece suporte a certificados emitidos por uma CA autônoma. Ele também não oferece suporte a certificados emitidos por uma autoridade de certificação de terceiros.

Dependendo de sua necessidade comercial, você tem as seguintes opções para configurar ou conectar uma CA a seu domínio: 
+ **Crie um subordinado Microsoft Enterprise CA** — (Recomendado) Com essa opção, você pode implantar um Microsoft Enterprise CA servidor subordinado na AWS nuvem. O servidor pode usar o Amazon EC2 para funcionar com a CA raiz da Microsoft existente. Para obter mais informações sobre como configurar um subordinado MicrosoftEnterprise CA, consulte **Etapa 4: Adicionar um Microsoft Enterprise CA ao seu AWS Microsoft AD diretório** em [Como habilitar o LDAPS do lado do servidor para seu diretório gerenciado AWS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) do Microsoft AD.
+ **Crie uma raiz Microsoft Enterprise CA** — Com essa opção, você pode criar uma raiz Microsoft Enterprise CA na AWS nuvem usando o Amazon EC2 e associá-la ao seu domínio gerenciado AWS do Microsoft AD. Essa CA raiz pode emitir o certificado para seus controladores de domínio. Para obter mais informações sobre como configurar uma nova CA raiz, consulte **Etapa 3: Instalar e configurar uma CA offline** em [Como habilitar o LDAPS do lado do servidor para seu diretório gerenciado do AWS Microsoft AD](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).

Para obter mais informações sobre como adicionar a instância do EC2 ao domínio, consulte [Maneiras de unir uma instância do Amazon EC2 ao seu AWS Microsoft AD gerenciado](ms_ad_join_instance.md).

### Etapa 3: Criar um modelo de certificado
<a name="createcustomcert"></a>

Após configurar a Enterprise CA, é possível configurar o modelo do certificado de autenticação Kerberos. 

**Para criar um modelo de certificado**

1. Inicie o **Microsoft Windows Server Manager**. Selecione **Ferramentas > Autoridade de certificação**.

1. Na janela **Autoridade de certificação**, expanda a árvore de **Autoridade de certificação** no painel esquerdo. Clique com o botão direito do mouse em **Modelos de certificado** e escolha **Gerenciar**.

1. Na janela **Console de modelos de certificado**, clique com o botão direito em **Autenticação Kerberos** e escolha **Duplicar modelo**.

1. A janela **Propriedades do novo modelo** será exibida.

1. Na janela **Propriedades do novo modelo**, vá até a guia **Compatibilidade** e faça o seguinte:

   1. Altere a **Autoridade de certificação** para o OS que corresponde à CA. 

   1. Se a janela **Alterações resultantes** for exibida, selecione **OK**.

   1. Altere o **Destinatário da certificação** para **Windows 10/Windows Server 2016**.
**nota**  
AWS O Microsoft AD gerenciado é desenvolvido porWindows Server 2019.

   1. Se a janela **Alterações resultantes** for exibida, selecione **OK**.

1. Clique na guia **Geral** e altere o **nome de exibição do modelo** para **LDAPOverSSL** ou qualquer outro nome que você preferir.

1. Clique na guia **Segurança** e escolha **Controladores de domínio** na seção **Nomes de grupos ou usuários**. Na seção **Permissões para controladores de domínio**, verifique se as caixas de seleção **Permitir** para **Leitura**, **Inscrição** e **Inscrição automática** estão marcadas.

1. Escolha **OK** para criar o modelo de certificado **LDAPOverSSL** (ou o nome que você especificou acima). Feche a janela do **Console de modelos de certificado**.

1. Na janela **Autoridade de certificação**, clique com o botão direito do mouse em **Modelos de certificado** e escolha **Novo > Modelo de certificado para emitir**.

1. Na janela **Ativar modelos de certificado**, escolha **LDAPOverSSL** (ou o nome que você especificou acima) e, em seguida, escolha **OK**.

### Etapa 4: adicionar regras do grupo de segurança
<a name="addgrouprules"></a>

Na etapa final, você deve abrir o console do Amazon EC2 e adicionar regras de grupo de segurança. Essas regras permitem que os controladores de domínio se conectem à Enterprise CA para solicitar um certificado. Nesse caso, você adiciona regras de entrada de forma que a Enterprise CA possa aceitar o tráfego de entrada dos controladores de domínio. Depois, você adiciona regras de saída para permitir o tráfego dos controladores de domínio para a Enterprise CA.

Quando as duas regras estiverem configuradas, os controladores de domínio solicitarão um certificado da Enterprise CA automaticamente e habilitarão o LDAPS para o diretório. O serviço LDAP em nos controladores de domínio agora está pronto para aceitar conexões LDAPS. 

**Para configurar regras do grupo de segurança**

1. Navegue até o console do Amazon EC2 em [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) e faça login com as credenciais de administrador.

1. No painel esquerdo, escolha **Grupos de segurança** em **Rede e segurança**.

1. No painel principal, escolha o grupo AWS de segurança para sua CA.

1. Escolha a guia **Inbound ** e depois **Edit**.

1. Na caixa de diálogo **Edit inbound rules**, faça o seguinte:
   + Escolha **Add Rule**. 
   + Escolha **All traffic** para **Type** e **Custom** para **Source**. 
   + Insira o grupo de AWS segurança (por exemplo,`sg-123456789`) para seu diretório na caixa ao lado de **Fonte**. 
   + Escolha **Salvar**.

1. Agora, escolha o grupo de AWS segurança do seu diretório AWS Managed Microsoft AD. Escolha a guia **Outbound (Saída)** e escolha **Edit (Editar)**.

1. Na caixa de diálogo **Edit outbound rules**, faça o seguinte:
   + Escolha **Add Rule**. 
   + Escolha **All traffic** para **Type** e **Custom** para **Destination**. 
   + Insira o grupo AWS de segurança da sua CA na caixa ao lado de **Destino**. 
   + Escolha **Salvar**.

Você pode testar a conexão LDAPS com o diretório AWS Managed Microsoft AD usando a LDP ferramenta. A ferramenta LDP vem com as Active Directory Administrative Tools. Para obter mais informações, consulte [Instalando as ferramentas de administração do Active Directory para o Microsoft AD AWS gerenciado](ms_ad_install_ad_tools.md).

**nota**  
Antes de testar a conexão LDAPS, é necessário esperar até 30 minutos para que a CA subordinada emita um certificado para seus controladores de domínio.

Para obter detalhes adicionais sobre o LDAPS do lado do servidor e ver um exemplo de caso de uso sobre como configurá-lo, consulte [Como habilitar o LDAPS do lado do servidor para seu diretório AWS gerenciado do Microsoft](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) AD no blog de segurança. AWS