Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Habilitación de LDAPS del lado del cliente mediante el Conector AD
<a name="ad_connector_ldap_client_side"></a>

La compatibilidad con LDAPS del lado del cliente en AD Connector cifra las comunicaciones entre Microsoft Active Directory (AD) y las aplicaciones. AWS Algunos ejemplos de estas aplicaciones son WorkSpaces Quick y Amazon Chime. AWS IAM Identity Center Este cifrado le ayuda a proteger mejor los datos de identidad de su organización y a cumplir sus requisitos de seguridad.

También puede anular el registro y deshabilitar los LDAPS del lado del cliente.

**Topics**
+ [Requisitos previos](#prereqs-ldap-client-side)
+ [Habilitación del LDAPS del lado del cliente](#enable-ldap-client-side)
+ [Administración de LDAPS del lado del cliente](manage-ldap-client-side.md)

## Requisitos previos
<a name="prereqs-ldap-client-side"></a>

Antes de habilitar LDAPS del lado del cliente, debe cumplir los siguientes requisitos.

**Topics**
+ [Implementar certificados de servidor en Active Directory](#deploy_server_certs_ldap_client_side)
+ [Requisitos del certificado de CA](#cert_requirements_ldap_client_side)
+ [Requisitos de red](#networking_requirements_ldap_client_side)

### Implementar certificados de servidor en Active Directory
<a name="deploy_server_certs_ldap_client_side"></a>

Para habilitar LDAPS en el lado del cliente, debe obtener e instalar certificados de servidor para cada controlador de dominio en Active Directory. Estos certificados los utilizará el servicio LDAP para escuchar y aceptar automáticamente conexiones SSL de clientes LDAP. Puede utilizar certificados SSL emitidos por una implementación interna de Active Directory Certificate Services (ADCS) o adquiridos a un emisor comercial. Para obtener más información acerca de los requisitos de certificados de servidor de Active Directory, consulte [Certificado LDAP a través de SSL (LDAPS)](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx) en el sitio web de Microsoft.

### Requisitos del certificado de CA
<a name="cert_requirements_ldap_client_side"></a>

Se requiere un certificado de CA (entidad de certificación) que represente al emisor de los certificados de servidor para la operación LDAPS del lado del cliente. Los certificados de entidad de certificación coinciden con los certificados de servidor que presentan los controladores de dominio de Active Directory para cifrar las comunicaciones LDAP. Tenga en cuenta los siguientes requisitos de los certificados de CA:
+  Para registrar un certificado, deben quedar más de 90 días para que caduque.
+ Los certificados deben estar en formato PEM (Privacy-Enhanced Mail). Si exporta certificados de CA desde Active Directory, elija X.509 (.CER) codificado en base64 como formato de archivo de exportación.
+ Se puede almacenar un máximo de cinco (5) certificados de entidad de certificación por directorio de Conector AD.
+ No se admiten los certificados que utilizan el algoritmo de firma RSASSA-PSS.

### Requisitos de red
<a name="networking_requirements_ldap_client_side"></a>

AWS el tráfico LDAP de la aplicación se ejecutará exclusivamente en el puerto TCP 636, sin recurrir al puerto LDAP 389. Sin embargo, las comunicaciones LDAP de Windows que admiten la replicación, relaciones de confianza y otras características seguirán utilizando el puerto LDAP 389 con la seguridad nativa de Windows. Configure grupos de AWS seguridad y firewalls de red para permitir las comunicaciones TCP en el puerto 636 del AD Connector (saliente) y en el Active Directory autoadministrado (entrante). 

## Habilitación del LDAPS del lado del cliente
<a name="enable-ldap-client-side"></a>

Para habilitar LDAPS del cliente, importe el certificado de la entidad de certificación (CA) en Conector AD y, a continuación, habilite LDAPS en el directorio. Al activarlo, todo el tráfico LDAP entre las AWS aplicaciones y su Active Directory autogestionado fluirá con el cifrado de canales Secure Sockets Layer (SSL).

Puede utilizar dos métodos diferentes para habilitar LDAPS en el lado del cliente para su directorio. Puede usar el método o el Consola de administración de AWS método. AWS CLI 

### Registrar el certificado en Directory Service
<a name="step1-register-cert-ldap-client-side"></a>

Utilice uno de los métodos siguientes para registrar un certificado en Directory Service.

**Método 1: para registrar el certificado en Directory Service (Consola de administración de AWS)**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.

1. Elija el enlace del ID de directorio correspondiente a su directorio.

1. En la página **Directory details (Detalles del directorio)**, elija la pestaña **Networking & security (Redes y seguridad)**.

1. En la sección **Client-side LDAPS (LDAPS del lado del cliente)**, seleccione el menú **Actions (Acciones)** y, a continuación, seleccione **Register certificate (Registrar certificado)**.

1. En el cuadro de diálogo **Register a CA certificate (Registrar un certificado de entidad de certificación)**, seleccione **Browse (Examinar)** y, a continuación, seleccione el certificado y elija **Open (Abrir)**.

1. Elija **Register certificate (Registrar certificado)**.

**Método 2: Para registrar su certificado en Directory Service (AWS CLI)**
+ Ejecute el comando siguiente. Para los datos del certificado, elija la ubicación del archivo de certificado de CA. Se proporcionará un ID de certificado en la respuesta.

  ```
  aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
  ```

### Comprobación del estado de registro
<a name="step2-check-registration-status-ldap-client-side"></a>

Para ver el estado del registro de un certificado o una lista de certificados registrados, utilice uno de los métodos siguientes.

**Método 1: comprobar el estado de registro del certificado en Directory Service (Consola de administración de AWS)**

1. Vaya a la sección **Client-side LDAPS (LDAPS del lado del cliente)** de la página **Directory details (Detalles del directorio)**.

1. Revise el estado actual del registro de certificado que se muestra en la columna **Registration status (Estado del registro)**. Cuando el valor de estado de registro cambia a **Registered (Registrado)**, el certificado se ha registrado correctamente.

**Método 2: comprobar el estado de registro del certificado en Directory Service (AWS CLI)**
+ Ejecute el comando siguiente. Si el valor de estado devuelve `Registered`, el certificado se ha registrado correctamente.

  ```
  aws ds list-certificates --directory-id your_directory_id
  ```

### Habilitación del LDAPS del lado del cliente
<a name="step3-enable-ldap-client-side"></a>

Utilice uno de los siguientes métodos para habilitar la entrada del LDAPS del lado del cliente. Directory Service

**nota**  
Debe haber registrado correctamente al menos un certificado para poder habilitar LDAPS en el lado del cliente.

**Método 1: Para habilitar el LDAPS del lado del cliente en () Directory Service Consola de administración de AWS**

1. Vaya a la sección **Client-side LDAPS (LDAPS del lado del cliente)** de la página **Directory details (Detalles del directorio)**.

1. Seleccione **Habilitar**. Si esta opción no está disponible, compruebe que se ha registrado correctamente un certificado válido y vuelva a intentarlo.

1. En el cuadro de diálogo **Enable client-side LDAPS (Habilitar LDAPS del lado del cliente)**, elija **Enable (Habilitar)**.

**Método 2: Para habilitar el LDAPS del lado del cliente en () Directory Service AWS CLI**
+ Ejecute el comando siguiente.

  ```
  aws ds enable-ldaps --directory-id your_directory_id --type Client
  ```

### Comprobación del estado de LDAPS
<a name="step4-check-status-ldap-client-side"></a>

Utilice uno de los siguientes métodos para comprobar el estado del LDAPS. Directory Service

**Método 1: Para comprobar el estado del LDAPS en Directory Service ()Consola de administración de AWS**

1. Vaya a la sección **Client-side LDAPS (LDAPS del lado del cliente)** de la página **Directory details (Detalles del directorio)**.

1. Si el valor de estado se muestra como **Enabled (Habilitado)**, LDAPS se ha configurado correctamente.

**Método 2: Para comprobar el estado del LDAPS en Directory Service ()AWS CLI**
+ Ejecute el comando siguiente. Si el valor de estado devuelve `Enabled`, LDAPS se ha configurado correctamente.

  ```
  aws ds describe-ldaps-settings –directory-id your_directory_id
  ```

Para obtener más información sobre cómo ver el certificado LDAPS del lado del cliente, anular el registro o deshabilitar su certificado LDAPS, consulte [Administración de LDAPS del lado del cliente](manage-ldap-client-side.md).