Configurare l'accesso LDAP sicuro (LDAPS) per un dominio gestito di Azure AD Domain ServicesConfigure secure LDAP (LDAPS) for an Azure AD Domain Services managed domain

Questo articolo illustra come abilitare l'accesso LDAPS (Secure Lightweight Directory Access Protocol) per il dominio gestito di Servizi di dominio Azure AD.This article shows how you can enable Secure Lightweight Directory Access Protocol (LDAPS) for your Azure AD Domain Services managed domain. L'accesso LDAP sicuro è noto anche come LDAP (Lightweight Directory Access Protocol) su SSL (Secure Sockets Layer) / TLS (Transport Layer Security).Secure LDAP is also known as 'Lightweight Directory Access Protocol (LDAP) over Secure Sockets Layer (SSL) / Transport Layer Security (TLS)'.

Prima di iniziareBefore you begin

Per eseguire le attività elencate in questo articolo sono necessari gli elementi seguenti:To perform the tasks listed in this article, you need:

  1. Una sottoscrizione di Azurevalida.A valid Azure subscription.
  2. Una directory di Azure AD sincronizzata con una directory locale o con una directory solo cloud.An Azure AD directory - either synchronized with an on-premises directory or a cloud-only directory.
  3. Servizi di dominio Azure AD devono essere abilitati per la directory di Azure AD.Azure AD Domain Services must be enabled for the Azure AD directory. Se non è stato fatto, eseguire tutte le attività descritte nella guida introduttiva.If you haven't done so, follow all the tasks outlined in the Getting Started guide.
  4. Un certificato da usare per abilitare l'accesso LDAP sicuro.A certificate to be used to enable secure LDAP.

    • È consigliabile ottenere un certificato da un'autorità di certificazione pubblica attendibile.Recommended - Obtain a certificate from a trusted public certification authority. Questa opzione di configurazione è più sicura.This configuration option is more secure.
    • In alternativa, è anche possibile scegliere di creare un certificato autofirmato , come illustrato più avanti in questo articolo.Alternately, you may also choose to create a self-signed certificate as shown later in this article.


Requisiti per il certificato LDAP sicuroRequirements for the secure LDAP certificate

Acquisire un certificato valido in base alle linee guida riportate di seguito prima di abilitare l'accesso LDAP sicuro.Acquire a valid certificate per the following guidelines, before you enable secure LDAP. Se si prova ad abilitare l'accesso LDAP sicuro per il dominio gestito con un certificato non valido o non corretto, si verificano errori.You encounter failures if you try to enable secure LDAP for your managed domain with an invalid/incorrect certificate.

  1. Autorità di certificazione attendibile : il certificato deve essere emesso da un'autorità ritenuta attendibile dai computer connessi al dominio gestito tramite accesso LDAP sicuro.Trusted issuer - The certificate must be issued by an authority trusted by computers connecting to the managed domain using secure LDAP. L'autorità può essere un'autorità di certificazione pubblica considerata attendibile da questi computer.This authority may be a public certification authority trusted by these computers.
  2. Durata : il certificato deve essere valido almeno per i 3-6 mesi successivi.Lifetime - The certificate must be valid for at least the next 3-6 months. L'accesso LDAP sicuro al dominio gestito viene interrotto allo scadere del certificato.Secure LDAP access to your managed domain is disrupted when the certificate expires.
  3. Nome soggetto : il nome del soggetto nel certificato deve includere un carattere jolly per il dominio gestito.Subject name - The subject name on the certificate must be a wildcard for your managed domain. Ad esempio, se il dominio è denominato "contoso100.com", il nome del soggetto nel certificato deve essere ".contoso100.com".For instance, if your domain is named 'contoso100.com', the certificate's subject name must be '.contoso100.com'. Impostare il nome DNS (nome soggetto alternativo) su questo nome con caratteri jolly.Set the DNS name (subject alternate name) to this wildcard name.
  4. Utilizzo chiavi : il certificato deve essere configurato per l'uso nelle firme digitali e nella crittografia a chiave.Key usage - The certificate must be configured for the following uses - Digital signatures and key encipherment.
  5. Scopo del certificato : il certificato deve essere valido per l'autenticazione server SSL.Certificate purpose - The certificate must be valid for SSL server authentication.

Nota

Autorità di certificazione globali (enterprise): Azure AD Domain Services non supporta l'uso di certificati LDAP sicuri rilasciati dall'autorità di certificazione globale (enterprise) dell'organizzazione.Enterprise Certification Authorities: Azure AD Domain Services does not support using secure LDAP certificates issued by your organization's enterprise certification authority. Questa restrizione è dovuta al fatto che il servizio non considera attendibile la CA come autorità di certificazione radice.This restriction is because the service does not trust your enterprise CA as a root certification authority.


Attività 1: Ottenere un certificato per l'accesso LDAP sicuroTask 1 - obtain a certificate for secure LDAP

La prima attività consiste nell'ottenere un certificato da usare per l'accesso LDAP sicuro al dominio gestito.The first task involves obtaining a certificate used for secure LDAP access to the managed domain. Sono disponibili due opzioni:You have two options:

  • Ottenere un certificato da un'autorità di certificazione pubblica.Obtain a certificate from a public certification authority.
  • Creare un certificato autofirmato.Create a self-signed certificate.

Nota

I computer client che devono connettersi al dominio gestito tramite l'accesso LDAP sicuro devono considerare attendibile l'autorità emittente del certificato LDAP sicuro.Client computers that need to connect to the managed domain using secure LDAP must trust the issuer of the secure LDAP certificate.

Se l'organizzazione ottiene i propri certificati da un'autorità di certificazione pubblica, è necessario ottenere il certificato LDAP sicuro da quella autorità di certificazione pubblica.If your organization obtains its certificates from a public certification authority, obtain the secure LDAP certificate from that public certification authority.

Suggerimento

Usare i certificati autofirmati per domini gestiti con i suffissi di dominio ".onmicrosoft.com".Use self-signed certificates for managed domains with '.onmicrosoft.com' domain suffixes. Se il nome di dominio DNS del dominio gestito termina con ".onmicrosoft.com", è impossibile ottenere un certificato LDAP sicuro da un'autorità di certificazione pubblica.If the DNS domain name of your managed domain ends in '.onmicrosoft.com', you cannot obtain a secure LDAP certificate from a public certification authority. Poiché Microsoft è il proprietario del dominio ".onmicrosoft.com", le autorità di certificazione pubbliche rifiutano di emettere un certificato LDAP sicuro per l'utente per un dominio con questo suffisso.Since Microsoft owns the 'onmicrosoft.com' domain, public certification authorities refuse to issue a secure LDAP certificate to you for a domain with this suffix. In questo scenario, creare un certificato autofirmato e usarlo per configurare l'accesso LDAP sicuro.In this scenario, create a self-signed certificate and use that to configure secure LDAP.

Verificare che il certificato ottenuto dall'autorità di certificazione pubblica soddisfi tutti i requisiti descritti in Requisiti per il certificato LDAP sicuro.Ensure the certificate you obtain from the public certificate authority satisfies all the requirements outlined in requirements for the secure LDAP certificate.

Opzione B: creare un certificato autofirmato per l'accesso LDAP sicuroOption B - Create a self-signed certificate for secure LDAP

Se non si prevede di usare un certificato di un'autorità di certificazione pubblica, è possibile scegliere di creare un certificato autofirmato per LDAP sicuro.If you do not expect to use a certificate from a public certification authority, you may choose to create a self-signed certificate for secure LDAP. Selezionare questa opzione se il nome di dominio DNS del dominio gestito termina con ".onmicrosoft.com".Pick this option if the DNS domain name of your managed domain ends in '.onmicrosoft.com'.

Creare un certificato autofirmato con PowerShellCreate a self-signed certificate using PowerShell

Per creare un nuovo certificato autofirmato in un computer Windows, aprire una nuova finestra di PowerShell come amministratore e digitare i comandi seguenti.On your Windows computer, open a new PowerShell window as Administrator and type the following commands, to create a new self-signed certificate.

$lifetime=Get-Date
New-SelfSignedCertificate -Subject *.contoso100.com `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.contoso100.com

Nell'esempio precedente sostituire ".contoso100.com" con il nome di dominio DNS del dominio gestito. Ad esempio, se è stato creato un dominio gestito chiamato "contoso100.onmicrosoft.com", sostituire ". contoso100.com" nello script precedente con ".contoso100.onmicrosoft.com").In the preceding sample, replace '.contoso100.com' with the DNS domain name of your managed domain. For example, if you created a managed domain called 'contoso100.onmicrosoft.com', replace '.contoso100.com' in the preceding script with '.contoso100.onmicrosoft.com').

Selezionare una directory di Azure AD

Il certificato autofirmato appena creato viene inserito nell'archivio certificati del computer locale.The newly created self-signed certificate is placed in the local machine's certificate store.

Passaggio successivoNext step

Attività 2: Esportare il certificato LDAP sicuro in un file PFXTask 2 - export the secure LDAP certificate to a .PFX file