Configurar o LDAPS (LDAP Seguro) para um domínio gerenciado do Azure AD Domain ServicesConfigure secure LDAP (LDAPS) for an Azure AD Domain Services managed domain

Este artigo mostra como você pode habilitar o protocolo LDAPS para seu domínio gerenciado dos Serviços de Domínio do Azure AD.This article shows how you can enable Secure Lightweight Directory Access Protocol (LDAPS) for your Azure AD Domain Services managed domain. O LDAP Seguro também é conhecido como “LDAP sobre protocolo SSL/TLS”.Secure LDAP is also known as 'Lightweight Directory Access Protocol (LDAP) over Secure Sockets Layer (SSL) / Transport Layer Security (TLS)'.

Importante

Habilite a sincronização de hash de senha para Azure Active Directory Domain Services, antes de concluir as tarefas neste artigo.Enable password hash synchronization to Azure AD Domain Services, before you complete the tasks in this article.

Siga as instruções a seguir, dependendo do tipo de usuários em seu diretório do Microsoft Azure Active Directory.Follow the instructions below, depending on the type of users in your Azure AD directory. Se você tiver uma combinação de contas de usuário somente em nuvem e sincronizadas em seu diretório do Microsoft Azure Active Directory conclua ambos os conjuntos de instruções.Complete both sets of instructions if you have a mix of cloud-only and synced user accounts in your Azure AD directory. Você não poderá realizar as seguintes operações no caso de você está tentando usar uma conta de convidado de B2B (exemplo, o gmail ou MSA de um provedor de identidade diferente que podemos permitir) porque não temos a senha para esses usuários sincronizados com o domínio gerenciado, pois essas são contas de convidado no diretório.You may not be able to carry out the following operations in case you are trying to use a B2B Guest account (example , your gmail or MSA from a different Identity provider which we allow) becasue we do not have the password for these users synced to managed domain as these are guest accounts in the directory. As informações completas sobre essas contas, incluindo suas senhas seria fora do Azure AD e como essas informações não estão no Azure AD, portanto, ele não até mesmo obter sincronizado com o domínio gerenciado.The complete information about these accounts including their passwords would be outside of Azure AD and as this information is not in Azure AD hence it does not even get synced to the managed domain.

Antes de começarBefore you begin

Para executar as tarefas listadas neste artigo, você precisa do seguinte:To perform the tasks listed in this article, you need:

  1. Uma assinatura do Azureválida.A valid Azure subscription.

  2. Um diretório do AD do Azure - seja sincronizado com um diretório local ou com um diretório somente na nuvem.An Azure AD directory - either synchronized with an on-premises directory or a cloud-only directory.

  3. Serviços de Domínio do Azure AD devem ser habilitados para o diretório do Azure AD.Azure AD Domain Services must be enabled for the Azure AD directory. Se você ainda não tiver feito isso, execute todas as tarefas descritas no guia de Introdução.If you haven't done so, follow all the tasks outlined in the Getting Started guide.

  4. Um certificado a ser usado para habilitar o LDAP seguro.A certificate to be used to enable secure LDAP.

    • Recomendado - Obtenha um certificado da uma autoridade de certificação pública confiável.Recommended - Obtain a certificate from a trusted public certification authority. Essa opção de configuração é a mais segura.This configuration option is more secure.
    • Como alternativa, você também pode optar por criar um certificado autoassinado como mostrado neste artigo.Alternately, you may also choose to create a self-signed certificate as shown later in this article.

Requisitos para o certificado LDAP seguroRequirements for the secure LDAP certificate

Obtenha um certificado válido que esteja de acordo com as diretrizes a seguir, antes de habilitar o LDAP seguro.Acquire a valid certificate per the following guidelines, before you enable secure LDAP. Você encontrará falhas se tentar habilitar o LDAP seguro para seu domínio gerenciado com um certificado inválido/incorreto.You encounter failures if you try to enable secure LDAP for your managed domain with an invalid/incorrect certificate.

  1. Emissor confiável – o certificado deve ser emitido por uma autoridade confiável para os computadores que se conectarem ao domínio gerenciado usando LDAP seguro.Trusted issuer - The certificate must be issued by an authority trusted by computers connecting to the managed domain using secure LDAP. Essa autoridade pode ser uma autoridade de certificação (CA) pública de confiança nesses computadores.This authority may be a public certification authority (CA) or an Enterprise CA trusted by these computers.
  2. Tempo de vida : o certificado deve ser válido por, pelo menos, os próximos três a seis meses.Lifetime - The certificate must be valid for at least the next 3-6 months. O acesso LDAP seguro para seu domínio gerenciado é interrompido quando o certificado expira.Secure LDAP access to your managed domain is disrupted when the certificate expires.
  3. Nome da entidade: o nome da entidade no certificado deve ser seu domínio gerenciado.Subject name - The subject name on the certificate must be your managed domain. Por exemplo, se o seu domínio tiver o nome 'contoso100.com', o nome do assunto do certificado deverá ser 'contoso100.com'.For instance, if your domain is named 'contoso100.com', the certificate's subject name must be 'contoso100.com'. Defina o nome DNS (nome alternativo do assunto) como um nome curinga para o seu domínio gerenciado.Set the DNS name (subject alternate name) to a wildcard name for your managed domain.
  4. Uso de chave : o certificado deve ser configurado para estas utilizações - assinaturas digitais e codificação de chave.Key usage - The certificate must be configured for the following uses - Digital signatures and key encipherment.
  5. Finalidade do certificado : o certificado deve ser válido para autenticação de servidor SSL.Certificate purpose - The certificate must be valid for SSL server authentication.

Tarefa 1 – obter um certificado para LDAP seguroTask 1 - obtain a certificate for secure LDAP

A primeira tarefa envolve a obtenção de um certificado que será usado para acesso LDAP seguro ao domínio gerenciado.The first task involves obtaining a certificate used for secure LDAP access to the managed domain. Você tem duas opções:You have two options:

  • Obtenha um certificado de uma CA pública ou CA corporativa.Obtain a certificate from a public CA or an enterprise CA.
  • Crie um certificado autoassinado.Create a self-signed certificate.

Observação

Computadores cliente que precisam se conectar ao domínio gerenciado usando o LDAP seguro devem confiar no emissor do certificado LDAP seguro.Client computers that need to connect to the managed domain using secure LDAP must trust the issuer of the secure LDAP certificate.

Se sua organização obtiver seus certificados de uma CA pública, obtenha o certificado LDAP seguro da CA pública.If your organization obtains its certificates from a public CA, obtain the secure LDAP certificate from that public CA. Se você implantar uma CA corporativa, obtenha o certificado LDAP seguro da CA corporativa.If you deploy an enterprise CA, obtain the secure LDAP certificate from the enterprise CA.

Dica

Use certificados autoassinados para domínios gerenciados com sufixos de domínio '.onmicrosoft.com'.Use self-signed certificates for managed domains with '.onmicrosoft.com' domain suffixes. Se o nome de domínio DNS do seu domínio gerenciado terminar em '.onmicrosoft.com', não será possível obter um certificado LDAP seguro de uma autoridade de certificação pública.If the DNS domain name of your managed domain ends in '.onmicrosoft.com', you cannot obtain a secure LDAP certificate from a public certification authority. Como a Microsoft detém o domínio 'onmicrosoft.com', as autoridades de certificação pública se recusam a emitir um certificado LDAP seguro para você para um domínio com esse sufixo.Since Microsoft owns the 'onmicrosoft.com' domain, public certification authorities refuse to issue a secure LDAP certificate to you for a domain with this suffix. Nesse cenário, crie um certificado autoassinado e use-o para configurar o LDAP seguro.In this scenario, create a self-signed certificate and use that to configure secure LDAP.

Certifique-se de que o certificado obtido da autoridade de certificação pública atenda a todos os requisitos descritos em requisitos para o certificado LDAP seguro.Ensure the certificate you obtain from the public certificate authority satisfies all the requirements outlined in requirements for the secure LDAP certificate.

Opção B - criar um certificado autoassinado para LDAP seguroOption B - Create a self-signed certificate for secure LDAP

Se você não pretende usar um certificado de uma autoridade de certificação pública, crie um certificado autoassinado para LDAP seguro.If you do not expect to use a certificate from a public certification authority, you may choose to create a self-signed certificate for secure LDAP. Escolha esta opção se o nome de domínio DNS do seu domínio gerenciado terminar em '.onmicrosoft.com'.Pick this option if the DNS domain name of your managed domain ends in '.onmicrosoft.com'.

Criar um certificado autoassinado usando o PowerShellCreate a self-signed certificate using PowerShell

No computador Windows, abra uma nova janela do PowerShell como Administrador e digite os comandos a seguir para criar um novo certificado autoassinado.On your Windows computer, open a new PowerShell window as Administrator and type the following commands, to create a new self-signed certificate.

$lifetime=Get-Date
New-SelfSignedCertificate -Subject contoso100.com `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.contoso100.com, contoso100.com

No exemplo anterior, substitua "contoso100.com" pelo nome do domínio DNS de seu domínio gerenciado.In the preceding sample, replace 'contoso100.com' with the DNS domain name of your managed domain. Por exemplo, se você tiver criado um domínio gerenciado chamado "contoso100.onmicrosoft.com", substitua "contoso100.com" no atributo Subject por "contoso100.onmicrosoft.com" e " .contoso100.com" no atributo DnsName por " .contoso100.onmicrosoft.com").For example, if you created a managed domain called 'contoso100.onmicrosoft.com', replace 'contoso100.com' in the Subject attribute with 'contoso100.onmicrosoft.com' and '.contoso100.com' in the DnsName attribute with '.contoso100.onmicrosoft.com').

Selecionar um diretório do AD do Azure

O certificado autoassinado recém-criado é colocado no repositório de certificados do computador local.The newly created self-signed certificate is placed in the local machine's certificate store.

Próxima etapaNext step

Tarefa 2 – exportar o certificado LDAP seguro para um arquivo .PFXTask 2 - export the secure LDAP certificate to a .PFX file