Configuración del Conector de la AWS Private CA para el AD Visualización del Conector de la AWS Private CA del AD Configuración de políticas del AD Confirmación de que AWS Private CA emitió un certificado

Configuración del Conector de la AWS Private CA para el AWS Managed Microsoft AD

Puede integrar el AWS Managed Microsoft AD con AWS Private Certificate Authority (CA) para emitir y administrar certificados para los controladores, usuarios, grupos y equipos vinculados a Active Directory. AWS Private CA Conector para Active Directory le permite utilizar un reemplazo directo de AWS Private CA totalmente gestionado por sus entidades de certificación (CA) empresariales autoadministradas sin necesidad de implementar, aplicar parches o actualizar agentes en las instalaciones o servidores proxy.

Puede configurar la integración de AWS Private CA con su directorio a través de la consola de Directory Service, la consola de Conector AWS Private CA para Active Directory o con una llamada a la API de CreateTemplate. Para configurar la integración de la CA privada a través de la consola del Conector de la AWS Private CA para Active Directory, consulte Creación de una plantilla de conector. Consulte los siguientes pasos sobre cómo configurar esta integración desde la consola de Directory Service.

Configuración del Conector de la AWS Private CA para el AD

Creación de Conector de Private CA para Active Directory

Inicie sesión en la Consola de administración de AWS y abra la consola de Directory Service en https://console.aws.amazon.com/directoryservicev2/.
En la página Directorios, elija el ID del directorio.
En la pestaña Administración de aplicaciones y en la sección de aplicaciones y servicios de AWS, seleccione Conector para AD de AWS Private CA.
En la página Create Private CA certificate for Active Directory, complete los pasos para crear su autorización de certificación (CA) privada para el Conector Active Directory.

Para obtener más información, consulte Creación de un conector.

Visualización del Conector de la AWS Private CA del AD

Cómo ver los detalles del conector de Private CA

Inicie sesión en la Consola de administración de AWS y abra la consola de Directory Service en https://console.aws.amazon.com/directoryservicev2/.
En la página Directorios, elija el ID del directorio.
En la pestaña Administración de aplicaciones y en la sección de aplicaciones y servicios de AWS, consulte sus conectores de Private CA como las Private CA asociadas. Los siguientes campos muestran:
1. ID de conector de AWS Private CA: el identificador único de un conector de AWS Private CA. Elíjalo para ver la página de detalles.
2. Asunto de AWS Private CA: información sobre el nombre distintivo de CA. Elíjalo para ver la página de detalles.
3. Estado: resultados de la comprobación de estado del conector AWS Private CA de y AWS Private CA:
  - Activo: ambas comprobaciones se aprueban
  - Fallo de 1/2 comprobación: una comprobación falla
  - Fallo: ambas comprobaciones fallan
  Para ver detalles del estado de fallo, coloque el cursor sobre el hipervínculo para ver qué comprobación tuvo errores.
4. Estado de inscripción de los certificados DC: compruebe el estado del certificado del controlador de dominio:
  - Habilitado: la inscripción de certificados está habilitada
  - Deshabilitada: la inscripción de certificados está deshabilitada
5. Fecha de creación: el día en que se creó el conector de AWS Private CA.

Para obtener más información, consulte Ver detalles del conector.

En la siguiente tabla se muestran los diferentes estados de la inscripción de certificados de controlador de dominio para AWS Managed Microsoft AD con AWS Private CA.

Estado de inscripción de DC	Descripción	Acción requerida
Habilitado	Los certificados de controlador de dominio se han inscrito correctamente en su directorio.	No hay que hacer nada.
Failed	No se pudo habilitar o deshabilitar la inscripción del certificado de controlador de dominio en su directorio.	Si se produce un error en la acción de habilitación, vuelva a intentarlo desactivando los certificados de controlador de dominio y, a continuación, volviéndolos a activar. Si la acción de inhabilitación no funciona, vuelva a intentarlo activando los certificados de controlador de dominio y, a continuación, vuelva a apagarlos. Si se produce un error al volver a intentarlo, póngase en contacto con AWS Support.
Deteriorado	Los controladores de dominio tienen problemas de conectividad de red para comunicarse con los puntos de conexión AWS Private CA.	Compruebe las políticas de punto de conexión de VPC de AWS Private CA y bucket de S3 para permitir la conectividad de red con su directorio. Para obtener más información, consulte Solucionar problemas de mensajes de excepción de una autoridad de certificado privado de AWS y Solucionar problemas de revocación de certificados de AWS Private CA.
Deshabilitado	La inscripción de certificados de controlador de dominio se ha desactivado correctamente en su directorio.	No hay que hacer nada.
Deshabilitación	La inhabilitación de la inscripción del certificado de controlador de dominio está en curso.	No hay que hacer nada.
Habilitación	La activación de la inscripción del certificado de controlador de dominio está en curso.	No hay que hacer nada.

Configuración de políticas del AD

Es necesario configurar el Conector de AWS Private CA para el AD para que los objetos y controladores de dominio de AWS Managed Microsoft AD puedan solicitar y recibir certificados. Configure su objeto de política de grupo (GPO) para que la AWS Private CA pueda emitir certificados a los objetos del AWS Managed Microsoft AD.

Configuración de las políticas de Active Directory para los controladores de dominio

Active las políticas de Active Directory para los controladores de dominio

Abra la pestaña Redes y seguridad.
Elegir Conectores de AWS Private CA.
Elija un conector vinculado al asunto de AWS Private CA que emite los certificados de controlador de dominio para su directorio.
Elija Acciones y Habilitación de los certificados de controlador de dominio.

importante

Configure una plantilla de controlador de dominio válida antes de activar los certificados de controlador de dominio para evitar demoras en las actualizaciones.

Tras activar la inscripción de certificados de controlador de dominio, los controladores de dominio de su directorio solicitan y reciben certificados de Conector AWS Private CA para AD.

Para cambiar AWS Private CA de los certificados de controlador de dominio, primero conecte el nuevo certificado AWS Private CA a su directorio mediante un nuevo Conector AWS Private CA para AD. Antes de activar la inscripción de certificados en el nuevo AWS Private CA, desactive la inscripción de certificados en el existente:

Desactive los certificados de controlador de dominio

Abra la pestaña Redes y seguridad.
Elegir Conectores de AWS Private CA.
Elija un conector vinculado al asunto de AWS Private CA que emite los certificados de controlador de dominio para su directorio.
Seleccione Acciones e inhabilite los certificados de controlador de dominio.

Configuración de las políticas de Active Directory para los usuarios, equipos y máquinas unidos a un dominio

Configurar objetos de política de grupo

Conéctese a la instancia de administración de AWS Managed Microsoft AD y abra el Administrador del servidor desde el menú Inicio.
En Herramientas, seleccione Administración de políticas de grupo.
En Bosques y dominios, busque su unidad organizativa (UO) de subdominio (por ejemplo, corp es su unidad organizativa de subdominio si siguió los procedimientos descritos en Creación de un AWS Managed Microsoft AD) y haga clic derecho sobre la OU de subdominio. Seleccione Crear un GPO en este dominio y vincúlelo aquí e ingrese PCA GPO como nombre. Seleccione Aceptar.
El GPO recién creado aparece debajo del nombre de su subdominio. Haga clic con el botón derecho en PCA GPO y seleccione Editar. Si se abre un cuadro de diálogo con el mensaje de alerta Este es un enlace y los cambios se propagarán globalmente, confirme el mensaje al seleccionar Aceptar para continuar. Se abre la ventana del Editor de administración de políticas de grupo.
En la ventana del Editor de administración de políticas de grupo, vaya a Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de clave pública (seleccione la carpeta).
En Tipo de objeto, elija Cliente de servicios de certificación: política de inscripción de certificados.
En la ventana Cliente de servicios de certificación: política de inscripción de certificados, cambie el modelo de configuración a Habilitado.
Confirme que la Política de inscripción de Active Directory esté seleccionada y habilitada. Elija Agregar.
Se abre el cuadro de diálogo Servidor de políticas de inscripción de certificados. Introduzca el punto de conexión del servidor de políticas de inscripción de certificados que se generó al crear el conector en el campo Introduzca el URI de la política del servidor de inscripciones. Deje el tipo de autenticación como Windows integrado.
Elija Validar. Una vez que la validación se haya realizado correctamente, seleccione Agregar.
Regrese al cuadro de diálogo Cliente de servicios de certificación: política de inscripción de certificados y seleccione la casilla junto al conector recién creado para asegurarse de que tenga la política de inscripción predeterminada.
Elija la Política de inscripción de Active Directory y seleccione Eliminar.
En el cuadro de diálogo de confirmación, elija Sí para eliminar la autenticación basada en el LDAP.
Seleccione Aplicar y Aceptar en la ventana Cliente de servicios de certificación: política de inscripción de certificados. Luego cierre la ventana.
En Tipo de objeto para la carpeta Políticas de clave pública, seleccione Cliente de servicios de certificación: política de inscripción de certificados.
Cambie el Modelo de configuración a Habilitado.
Confirme que las opciones Renovar certificados expirados y Actualizar certificados estén ambas seleccionadas. Deje las otras opciones como están.
Seleccione Aplicar, luego Aceptar y cierre el cuadro de diálogo.

A continuación, configure las políticas de claves públicas para la configuración de usuario repitiendo los pasos 6 a 17 de la sección Configuración de Windows > Configuración de seguridad > Políticas de claves públicas.

Después que haya terminado de configurar los GPO y las políticas de claves públicas, los objetos del dominio solicitarán certificados al Conector AWS Private CA para AD y recibirán los certificados emitidos por AWS Private CA.

Confirmación de que AWS Private CA emitió un certificado

El proceso para actualizar la AWS Private CA y emitir certificados para el AWS Managed Microsoft AD puede tardar hasta 8 horas.

Puede elegir una de las opciones siguientes:

Puede esperar este período de tiempo.
Puede reiniciar los equipos vinculados al dominio del AWS Managed Microsoft AD que fueron configurados para recibir certificados de la AWS Private CA. Luego, puede confirmar que la AWS Private CA ha emitido certificados a los miembros del dominio del AWS Managed Microsoft AD siguiendo el procedimiento en Documentación de Microsoft.
Puede usar el siguiente comando de PowerShell para actualizar los certificados del AWS Managed Microsoft AD:
```
certutil -pulse
```

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilitación la criptografía de clave pública para la autenticación inicial (PKINIT)

Supervisión del directorio