Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Abilitazione di LDAPS lato client tramite AD Connector
Il supporto LDAPS lato client in AD Connector crittografa le comunicazioni tra Microsoft Active Directory (AD) e le applicazioni. AWS Esempi di tali applicazioni includono WorkSpaces AWS IAM Identity Center, Quick e Amazon Chime. Questa crittografia ti aiuta a proteggere meglio i dati di identità della tua organizzazione e a soddisfare i tuoi requisiti di sicurezza.
È inoltre possibile annullare la registrazione e disabilitare il protocollo LDAPS lato client.
**Topics**
+ [Prerequisiti](#prereqs-ldap-client-side)
+ [Abilitazione del protocollo LDAPS lato client](#enable-ldap-client-side)
+ [Gestione del protocollo LDAPS lato client](manage-ldap-client-side.md)
## Prerequisiti
Prima di abilitare LDAPS lato client, è necessario soddisfare i seguenti requisiti.
**Topics**
+ [Distribuire certificati server in Active Directory](#deploy_server_certs_ldap_client_side)
+ [Requisiti del certificato CA](#cert_requirements_ldap_client_side)
+ [Requisiti di rete](#networking_requirements_ldap_client_side)
### Distribuire certificati server in Active Directory
Per abilitare LDAPS lato client, è necessario ottenere e installare i certificati server per ogni controller di dominio in Active Directory. Questi certificati verranno utilizzati dal servizio LDAP per ascoltare e accettare automaticamente connessioni SSL dai client LDAP. È possibile utilizzare certificati SSL emessi da una distribuzione interna di Active Directory Certificate Services (ADCS) o acquistati da un’emittente commerciale. Per ulteriori informazioni sui requisiti dei certificati server Active Directory, vedere il certificato [LDAP su SSL (LDAPS)](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx) sul sito Web Microsoft.
### Requisiti del certificato CA
Un certificato di autorità di certificazione (CA), che rappresenta l'emittente dei certificati server, è necessario per l'operazione LDAPS lato client. I certificati CA sono abbinati ai certificati server presentati dai controller di dominio Active Directory per crittografare le comunicazioni LDAP. Tenere presenti i seguenti requisiti del certificato CA:
+ Per registrare un certificato, sono necessari più di 90 giorni dalla scadenza.
+ I certificati devono essere in formato PEM (Privacy-Enhanced Mail). Se si esportano certificati CA da Active Directory, scegliere il formato di file di esportazione con codifica Base64 X.509 (.CER).
+ È possibile archiviare un massimo di cinque (5) certificati CA per la directory AD Connector.
+ I certificati che utilizzano l'algoritmo di firma RSASSA-PSS non sono supportati.
### Requisiti di rete
AWS il traffico LDAP dell'applicazione verrà eseguito esclusivamente sulla porta TCP 636, senza alcun fallback sulla porta LDAP 389. Tuttavia, le comunicazioni LDAP di Windows che supportano replica, trust e altro ancora continueranno a utilizzare la porta LDAP 389 con protezione nativa di Windows. Configura i gruppi AWS di sicurezza e i firewall di rete per consentire le comunicazioni TCP sulla porta 636 in AD Connector (in uscita) e Active Directory autogestita (in entrata).
## Abilitazione del protocollo LDAPS lato client
Per abilitare LDAPS lato client, è possibile importare il certificato di autorità di certificazione (CA) in AD Connector e quindi abilitare LDAPS nella directory. Una volta abilitato, tutto il traffico LDAP tra le AWS applicazioni e l'Active Directory autogestito fluirà con la crittografia dei canali Secure Sockets Layer (SSL).
Sono disponibili due metodi diversi per abilitare LDAPS lato client per la directory. È possibile utilizzare il metodo o il Console di gestione AWS metodo. AWS CLI
### Registrazione del certificato in Directory Service
Utilizza uno dei seguenti metodi per registrare un certificato in Directory Service.
**Metodo 1: Per registrare il certificato in Directory Service (Console di gestione AWS)**
1. Nel riquadro di navigazione della [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleziona **Directory**.
1. Seleziona il collegamento dell'ID per la tua directory.
1. Nella pagina **Directory details (Dettagli della directory)** selezionare la scheda **Networking & security (Reti e sicurezza)**.
1. Nella sezione **Client-side LDAPS (LDAPS lato client)** selezionare il menu **Actions (Operazioni)** e quindi selezionare **Register certificate (Registra certificato)**.
1. Nella finestra di dialogo **Register a CA certificate (Registra un certificato CA)** selezionare **Browse (Sfoglia)**, quindi selezionare il certificato e scegliere **Open (Apri)**.
1. Scegliere **Register certificate (Registra certificato)**.
**Metodo 2: registrare il certificato in Directory Service (AWS CLI)**
+ Eseguire il seguente comando seguente. Per i dati del certificato, scegliere il percorso del file del certificato CA. Nella risposta verrà fornito un ID certificato.
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### Verifica dello stato della registrazione
Per visualizzare lo stato di una registrazione di certificati o di un elenco di certificati registrati, utilizzare uno dei seguenti metodi.
**Metodo 1: per controllare lo stato di registrazione del certificato in Directory Service (Console di gestione AWS)**
1. Andare alla sezione **Client-side LDAPS (LDAPS lato client)** nella pagina dei **Directory details (Dettagli della directory)**.
1. Esaminare lo stato di registrazione del certificato corrente visualizzato nella colonna **Registration status (Stato registrazione)**. Quando il valore dello stato di registrazione cambia in **Registered (Registrato)**, il certificato è stato registrato.
**Metodo 2: Per controllare lo stato di registrazione del certificato in Directory Service (AWS CLI)**
+ Eseguire il seguente comando seguente. Se il valore dello stato restituisce `Registered`, il certificato è stato registrato.
```
aws ds list-certificates --directory-id your_directory_id
```
### Abilitazione del protocollo LDAPS lato client
Utilizzate uno dei seguenti metodi per abilitare l'accesso LDAPS lato client. Directory Service
**Nota**
Devi aver registrato almeno un certificato prima di poter abilitare LDAPS lato client.
**Metodo 1: Per abilitare LDAPS lato client in () Directory Service Console di gestione AWS**
1. Andare alla sezione **Client-side LDAPS (LDAPS lato client)** nella pagina dei **Directory details (Dettagli della directory)**.
1. Scegli **Abilita **. Se questa opzione non è disponibile, verificare che un certificato valido sia stato registrato e riprovare.
1. Nella finestra di dialogo **Enable client-side LDAPS (Abilita LDAPS lato client)** scegliere **Enable (Abilita)**.
**Metodo 2: Per abilitare LDAPS lato client in () Directory Service AWS CLI**
+ Eseguire il seguente comando seguente.
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### Verifica dello stato LDAPS
Utilizzate uno dei seguenti metodi per verificare lo stato LDAPS. Directory Service
**Metodo 1: per controllare lo stato LDAPS in Directory Service ()Console di gestione AWS**
1. Andare alla sezione **Client-side LDAPS (LDAPS lato client)** nella pagina dei **Directory details (Dettagli della directory)**.
1. Se il valore dello stato visualizzato è **Enabled (Abilitato)**, LDAPS è stato configurato.
**Metodo 2: Per controllare lo stato LDAPS in Directory Service ()AWS CLI**
+ Eseguire il seguente comando seguente. Se il valore di stato restituisce `Enabled`, LDAPS è stato configurato.
```
aws ds describe-ldaps-settings –directory-id your_directory_id
```
Per ulteriori informazioni sulla visualizzazione del certificato LDAPS sul lato client, sull'annullamento della registrazione o sulla disabilitazione del certificato LDAPS, consulta. [Gestione del protocollo LDAPS lato client](manage-ldap-client-side.md)