启用客户端 LDAPS
要启用客户端 LDAPS,您需要将证书颁发机构(CA)证书导入 AWS Managed Microsoft AD,然后在目录上启用 LDAPS。启用后,AWS 应用程序与您自行管理的 Active Directory 之间的所有 LDAP 通信将通过安全套接字层 (SSL) 通道加密进行传输。
您可以使用两种不同的方法为您的目录启用客户端 LDAPS。您可以使用 AWS Management Console 方法或 AWS CLI 方法。
注意
客户端 LDAPS 是 AWS Managed Microsoft AD 的一项区域性功能。如果您使用的是 多区域复制,则必须分别在每个区域中应用以下过程。有关更多信息,请参阅 全局与区域特色。
主题
步骤 1:在 AWS Directory Service 中注册证书
步骤 2:检查注册状态
步骤 3:启用客户端 LDAPS
步骤 4:查看 LDAPS 状态
步骤 1:在 AWS Directory Service 中注册证书
使用下列方法之一在 AWS Directory Service 中注册证书。
方法 1:在 AWS Directory Service 中注册您的证书 (AWS Management Console)
在 AWS Directory Service 控制台导航窗格中,选择目录。
选择目录的目录 ID 链接。
在报告详细信息页面上,执行以下操作之一:
如果多区域复制下显示多个区域,选择想要注册证书的区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。
如果多区域复制下未显示任何区域,选择网络与安全选项卡。
在 Client-side LDAPS (客户端 LDAPS) 部分中,选择 Actions (操作) 菜单,然后选择 Register certificate (注册证书)。
在 Register a CA certificate (注册 CA 证书) 对话框中,选择 Browse (浏览),然后选择证书并选择 Open (打开)。
选择 Register certificate (注册证书)。
方法 2:在 AWS Directory Service 中注册您的证书 (AWS CLI)
运行以下命令。对于证书数据,请指向 CA 证书文件的位置。响应中将会提供证书 ID。
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
步骤 2:检查注册状态
要查看证书注册的状态或已注册证书的列表,请使用以下任一方法。
方法 1:在 AWS Directory Service 中检查证书注册状态 (AWS Management Console)
转到目录详细信息页面上的客户端 LDAPS 部分。
查看 Registration status (注册状态) 列下显示的当前证书注册状态。当注册状态值更改为 Registered (已注册) 时,您的证书已成功注册。
方法 2:在 AWS Directory Service 中检查证书注册状态 (AWS CLI)
运行以下命令。如果状态值返回 Registered,则表示您的证书已成功注册。
aws ds list-certificates --directory-id your_directory_id
步骤 3:启用客户端 LDAPS
使用下列方法之一在 AWS Directory Service 中启用客户端 LDAPS。
注意
您必须已成功注册至少一个证书,然后才能启用客户端 LDAPS。
方法 1:在 AWS Directory Service 中启用客户端 LDAPS (AWS Management Console)
转到目录详细信息页面上的客户端 LDAPS 部分。
请选择 Enable。如果此选项不可用,请验证有效证书是否已成功注册,然后重试。
在 Enable client-side LDAPS (启用客户端 LDAPS) 对话框中,选择 Enable (启用)。
方法 2:在 AWS Directory Service 中启用客户端 LDAPS (AWS CLI)
运行以下命令。
aws ds enable-ldaps --directory-id your_directory_id --type Client
步骤 4:查看 LDAPS 状态
使用下列方法之一检查 AWS Directory Service 中的 LDAPS 状态。
方法 1:在 AWS Directory Service 中检查 LDAPS 状态 (AWS Management Console)
转到目录详细信息页面上的客户端 LDAPS 部分。
如果状态值显示为 Enabled (启用),则 LDAPS 已成功配置。
方法 2:在 AWS Directory Service 中检查 LDAPS 状态 (AWS CLI)
运行以下命令。如果状态值返回 Enabled,则 LDAPS 已成功配置。
aws ds describe-ldaps-settings ---directory-id your_directory_id
管理客户端 LDAPS
使用这些命令可管理 LDAPS 配置。
您可以使用两种不同的方法来管理客户端 LDAPS 设置。您可以使用 AWS Management Console 方法或 AWS CLI 方法。
查看证书详细信息
使用下列方法之一查看证书设置为何时过期。
方法 1:在 AWS Directory Service 中查看证书详细信息 (AWS Management Console)
在 AWS Directory Service 控制台导航窗格中,选择目录。
选择目录的目录 ID 链接。
在报告详细信息页面上,执行以下操作之一:
如果多区域复制下显示多个区域,选择想要查看证书的区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。
如果多区域复制下未显示任何区域,选择网络与安全选项卡。
在 Client-side LDAPS (客户端 LDAPS) 部分的 CA certificates (CA 证书) 下,将显示有关证书的信息。
方法 2:在 AWS Directory Service 中查看证书详细信息 (AWS CLI)
运行以下命令。对于证书 ID,请使用由 register-certificate 或 list-certificates 返回的标识符。
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
取消注册证书
使用下列方法之一取消注册证书。
注意
如果只注册了一个证书,则必须先禁用 LDAPS,然后才能取消注册证书。
方法 1:在 AWS Directory Service 中取消注册证书 (AWS Management Console)
在 AWS Directory Service 控制台导航窗格中,选择目录。
选择目录的目录 ID 链接。
在报告详细信息页面上,执行以下操作之一:
如果多区域复制下显示多个区域,选择想要取消注册证书的区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。
如果多区域复制下未显示任何区域,选择网络与安全选项卡。
在 Client-side LDAPS (客户端 LDAPS) 部分中,选择 Actions (操作),然后选择 Deregister certificate (取消注册证书)。
在 Deregister a CA certificate (取消注册 CA 证书) 对话框中,选择 Deregister (取消注册)。
方法 2:在 AWS Directory Service 中取消注册证书 (AWS CLI)
运行以下命令。对于证书 ID,请使用由 register-certificate 或 list-certificates 返回的标识符。
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
禁用客户端 LDAPS
使用下列方法之一禁用客户端 LDAPS。
方法 1:在 AWS Directory Service 中禁用客户端 LDAPS (AWS Management Console)
在 AWS Directory Service 控制台导航窗格中,选择目录。
选择目录的目录 ID 链接。
在报告详细信息页面上,执行以下操作之一:
如果多区域复制下显示多个区域,选择想要禁用客户端 LDAPS 的区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。
如果多区域复制下未显示任何区域,选择网络与安全选项卡。
在 Client-side LDAPS (客户端 LDAPS) 部分中,选择 Disable (禁用)。
在 Disable client-side LDAPS (禁用客户端 LDAPS) 对话框中,选择 Disable (禁用)。
方法 2:在 AWS Directory Service 中禁用客户端 LDAPS (AWS CLI)
运行以下命令。
aws ds disable-ldaps --directory-id your_directory_id --type Client