AWS Private CA Connector für AD einrichten AWS Private CA Connector für AD anzeigen Konfiguration von AD-Richtlinien Bestätigung der AWS Private CA Ausstellung eines Zertifikats

AWS Private CA Connector für AD für AWS Managed Microsoft AD einrichten

Sie können Ihr AWS verwaltetes Microsoft AD mit AWS Private Certificate Authority (CA) integrieren, um Zertifikate für Ihre Active Directory-Domänencontroller, domänengebundenen Benutzer, Gruppen und Maschinen auszustellen und zu verwalten. AWS Private CA Connector for Active Directory ermöglicht es Ihnen, einen vollständig verwalteten AWS Private CA Drop-In-Ersatz für Ihr selbstverwaltetes Unternehmen zu verwenden, CAs ohne lokale Agenten oder Proxyserver bereitstellen, patchen oder aktualisieren zu müssen.

Sie können die AWS Private CA Integration mit Ihrem Verzeichnis über die AWS Directory Service Konsole, die AWS Private CA Connector for Active Directory-Konsole oder durch Aufrufen der CreateTemplateAPI einrichten. Informationen zum Einrichten der Private CA-Integration über die AWS Private CA Connector for Active Directory-Konsole finden Sie unter Connector-Vorlage erstellen. In den folgenden Schritten erfahren Sie, wie Sie diese Integration von der AWS Directory Service Konsole aus einrichten.

AWS Private CA Connector für AD einrichten

Um einen privaten CA-Connector für Active Directory zu erstellen

Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Directory Service Konsole unterhttps://console.aws.amazon.com/directoryservicev2/.
Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.
Wählen Sie auf der Registerkarte Anwendungsverwaltung und im Bereich AWS Apps und Dienste die Option AWS Private CA Connector for AD aus.
Führen Sie auf der Seite Privates CA-Zertifikat für Active Directory erstellen die Schritte aus, um Ihren privaten CA for Active Directory-Connector zu erstellen.

Weitere Informationen finden Sie unter Einen Konnektor erstellen.

AWS Private CA Connector für AD anzeigen

So zeigen Sie Details zum privaten CA-Connector an

Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Directory Service Konsole unterhttps://console.aws.amazon.com/directoryservicev2/.
Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.
Sehen Sie sich auf der Registerkarte Anwendungsverwaltung und im Bereich AWS Apps und Dienste Ihre Private CA-Connectors und die zugehörige private CA an. Die folgenden Felder werden angezeigt:
1. AWS Private CA Connector-ID — Die eindeutige Kennung für einen AWS Private CA Connector. Wählen Sie es aus, um die Detailseite anzuzeigen.
2. AWS Private CA Betreff — Informationen zum eindeutigen Namen der CA. Wählen Sie es aus, um die Detailseite aufzurufen.
3. Status — Ergebnisse der Statusprüfung für den AWS Private CA Connector und AWS Private CA:
  - Aktiv — Beide Prüfungen wurden bestanden
  - 1/2 Prüfungen fehlgeschlagen — Eine Prüfung schlägt fehl
  - Fehlgeschlagen — Beide Prüfungen schlagen fehl
  Einzelheiten zum Status „Fehlgeschlagen“ erhalten Sie, wenn Sie mit der Maus auf den Hyperlink zeigen, um zu sehen, welche Prüfung fehlgeschlagen ist.
4. Registrierungsstatus für DC-Zertifikate — Statusüberprüfung für den Status des Domänencontroller-Zertifikats:
  - Aktiviert — Die Zertifikatsregistrierung ist aktiviert
  - Deaktiviert — Die Zertifikatsregistrierung ist deaktiviert
5. Erstellungsdatum — Wann der AWS Private CA Connector erstellt wurde.

Weitere Informationen finden Sie unter Konnektor-Details anzeigen.

Die folgende Tabelle zeigt die verschiedenen Status für die Registrierung von Domänencontroller-Zertifikaten für AWS Managed Microsoft AD mit. AWS Private CA

DC-Registrierungsstatus	Beschreibung	Aktion erforderlich
Aktiviert	Domänencontroller-Zertifikate wurden erfolgreich in Ihrem Verzeichnis registriert.	Es ist keine Aktion erforderlich.
Fehlgeschlagen	Die Aktivierung oder Deaktivierung der Registrierung von Domänencontroller-Zertifikaten ist für Ihr Verzeichnis fehlgeschlagen.	Wenn Ihre Aktivierungsaktion fehlschlägt, versuchen Sie es erneut, indem Sie die Domänencontroller-Zertifikate deaktivieren und dann wieder einschalten. Wenn Ihre Deaktivierungsaktion fehlschlägt, versuchen Sie es erneut, indem Sie die Domänencontrollerzertifikate aktivieren und dann wieder ausschalten. Wenn der Wiederholungsversuch fehlschlägt, wenden Sie sich an den AWS Support.
Beeinträchtigt	Domänencontroller haben Probleme mit der Netzwerkkonnektivität bei der Kommunikation mit AWS Private CA Endpunkten.	Überprüfen Sie die AWS Private CA VPC-Endpunkt- und S3-Bucket-Richtlinien, um die Netzwerkkonnektivität mit Ihrem Verzeichnis zu ermöglichen. Weitere Informationen finden Sie unter Problembehandlung bei Ausnahmemeldungen AWS einer privaten Zertifizierungsstelle und Behebung von Problemen mit dem Widerruf von AWS Private CA Zertifikaten.
Disabled	Die Registrierung von Domänencontroller-Zertifikaten wurde für Ihr Verzeichnis erfolgreich deaktiviert.	Es ist keine Aktion erforderlich.
Wird deaktiviert	Die Deaktivierung der Registrierung von Domänencontroller-Zertifikaten ist im Gange.	Es ist keine Aktion erforderlich.
Aktivieren	Die Aktivierung der Registrierung von Domänencontroller-Zertifikaten ist im Gange.	Es ist keine Aktion erforderlich.

Konfiguration von AD-Richtlinien

AWS Private CA Der Connector für AD muss so konfiguriert sein, dass AWS verwaltete Microsoft AD-Domänencontroller und Objekte Zertifikate anfordern und empfangen können. Konfigurieren Sie Ihr Gruppenrichtlinienobjekt (GPO) so, dass Zertifikate für AWS verwaltete Microsoft AD-Objekte ausgestellt werden AWS Private CA können.

Konfiguration von Active Directory-Richtlinien für Domänencontroller

Aktivieren Sie Active Directory-Richtlinien für Domänencontroller

Öffnen Sie die Registerkarte Netzwerk und Sicherheit.
Wählen Sie AWS Private CA Connectors.
Wählen Sie einen Connector aus, der mit dem AWS Private CA Betreff verknüpft ist, der Domänencontroller-Zertifikate für Ihr Verzeichnis ausstellt.
Wählen Sie Aktionen, Domänencontroller-Zertifikate aktivieren aus.

Wichtig

Konfigurieren Sie eine gültige Domänencontroller-Vorlage, bevor Sie Domänencontrollerzertifikate aktivieren, um verzögerte Updates zu vermeiden.

Nachdem Sie die Registrierung von Domänencontroller-Zertifikaten aktiviert haben, fordern die Domänencontroller Ihres Verzeichnisses Zertifikate von AWS Private CA Connector for AD an und empfangen sie.

Um die Ausstellung von AWS Private CA Domänencontrollerzertifikaten AWS Private CA zu ändern, verbinden Sie die neuen Zertifikate zunächst über einen neuen AWS Private CA Connector für AD mit Ihrem Verzeichnis. Bevor Sie die Zertifikatsregistrierung auf dem neuen Gerät aktivieren AWS Private CA, deaktivieren Sie die Zertifikatsregistrierung auf dem vorhandenen Gerät:

Schalten Sie die Domänencontrollerzertifikate aus

Öffnen Sie die Registerkarte Netzwerk und Sicherheit.
Wählen Sie AWS Private CA Connectors.
Wählen Sie einen Connector aus, der mit dem AWS Private CA Betreff verknüpft ist, der Domänencontroller-Zertifikate für Ihr Verzeichnis ausstellt.
Wählen Sie Aktionen, Domänencontroller-Zertifikate deaktivieren.

Konfiguration von Active Directory-Richtlinien für Benutzer, Computer und Maschinen, die einer Domäne angehören

Gruppenrichtlinienobjekte konfigurieren

Connect zur AWS verwalteten Microsoft AD-Administratorinstanz her und öffnen Sie Server Manager im Startmenü.
Wählen Sie unter Tools die Option Group Policy Management aus.
Suchen Sie unter Gesamtstruktur und Domänen nach Ihrer Subdomänen-Organisationseinheit (OU) (dies corp ist beispielsweise Ihre Subdomänen-Organisationseinheit, wenn Sie die unter beschriebenen Verfahren befolgt habenIhr AWS verwaltetes Microsoft AD erstellen) und klicken Sie mit der rechten Maustaste auf Ihre Subdomänen-Organisationseinheit. Wählen Sie Create a GPO in this domain aus, verknüpfen Sie es hier und geben Sie PCA GPO als Namen ein. Wählen Sie OK aus.
Das neu erstellte Gruppenrichtlinienobjekt wird hinter dem Namen Ihrer Subdomain angezeigt. Klicken Sie mit der rechten Maustaste darauf PCA GPO und wählen Sie Bearbeiten. Wenn ein Dialogfeld mit einer Warnmeldung geöffnet wird, die besagt, dass dies ein Link ist und dass Änderungen global verbreitet werden, bestätigen Sie die Meldung, indem Sie OK wählen, um fortzufahren. Das Fenster Group Policy Management Editor wird geöffnet.
Gehen Sie im Fenster des Gruppenrichtlinienverwaltungs-Editors zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel (wählen Sie den Ordner aus).
Wählen Sie unter Objekttyp die Option Certificate Services Client — Certificate Enrollment Policy aus.
Ändern Sie im Fenster Certificate Services Client — Certificate Enrollment Policy das Konfigurationsmodell auf Aktiviert.
Vergewissern Sie sich, dass die Active Directory-Registrierungsrichtlinie ausgewählt und aktiviert ist. Wählen Sie Hinzufügen aus.
Das Dialogfeld Certificate Enrollment Policy Server wird geöffnet. Geben Sie den Endpunkt des Zertifikatsregistrierungsrichtlinienservers, den Sie bei der Erstellung Ihres Connectors generiert haben, in das Feld Registrierungsserver-Richtlinien-URI eingeben ein. Belassen Sie den Authentifizierungstyp auf Windows integrated.
Wählen Sie „Validieren“. Nachdem die Validierung erfolgreich war, wählen Sie Hinzufügen.
Kehren Sie zum Dialogfeld Certificate Services Client — Certificate Enrollment Policy zurück und wählen Sie das Feld neben dem neu erstellten Connector aus, um sicherzustellen, dass es sich bei dem Connector um die Standardregistrierungsrichtlinie handelt.
Wählen Sie „Active Directory-Registrierungsrichtlinie“ und dann „Entfernen“.
Wählen Sie im Bestätigungsdialogfeld Ja aus, um die LDAP-basierte Authentifizierung zu löschen.
Klicken Sie im Fenster Certificate Services Client — Certificate Enrollment Policy auf Anwenden und anschließend auf OK. Schließen Sie dann das Fenster.
Wählen Sie unter Objekttyp für den Ordner Public Key Policies die Option Certificate Services Client — Auto-Enrollment aus.
Ändern Sie die Option „Konfigurationsmodell“ auf Aktiviert.
Vergewissern Sie sich, dass die Optionen Abgelaufene Zertifikate verlängern und Zertifikate aktualisieren ausgewählt sind. Lassen Sie die anderen Einstellungen unverändert.
Wählen Sie Anwenden und dann OK aus, und schließen Sie das Dialogfeld.

Konfigurieren Sie anschließend die Richtlinien für öffentliche Schlüssel für die Benutzerkonfiguration, indem Sie die Schritte 6 bis 17 im Abschnitt Benutzerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel wiederholen.

Nachdem Sie die Konfiguration GPOs und die Richtlinien für öffentliche Schlüssel abgeschlossen haben, fordern Objekte in der Domäne Zertifikate von AWS Private CA Connector for AD an und erhalten Zertifikate, die von AWS Private CA ausgestellt wurden.

Bestätigung der AWS Private CA Ausstellung eines Zertifikats

Die Aktualisierung AWS Private CA zur Ausstellung von Zertifikaten für Ihr AWS Managed Microsoft AD kann bis zu 8 Stunden dauern.

Sie können einen der folgenden Schritte ausführen:

Sie können diesen Zeitraum abwarten.
Sie können die mit der AWS verwalteten Microsoft AD-Domäne verbundenen Maschinen neu starten, die für den Empfang von Zertifikaten von konfiguriert wurden AWS Private CA. Anschließend können Sie bestätigen, dass der Zertifikate für Mitglieder Ihrer AWS verwalteten Microsoft AD-Domäne ausgestellt AWS Private CA hat, indem Sie das in der MicrosoftDokumentation beschriebene Verfahren befolgen.
Sie können den folgenden PowerShell Befehl verwenden, um die Zertifikate für Ihr AWS verwaltetes Microsoft AD zu aktualisieren:
```
certutil -pulse
```

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aktivieren Sie die Kryptografie mit öffentlichen Schlüsseln für die Erstauthentifizierung (PKINIT)

Ihr Verzeichnis überwachen