Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengatur AWS Private CA Konektor untuk AD untuk Microsoft AD yang AWS Dikelola
Anda dapat mengintegrasikan Microsoft AD yang AWS Dikelola dengan AWS Private Certificate Authority (CA) untuk menerbitkan dan mengelola sertifikat untuk pengontrol domain Direktori Aktif, pengguna yang bergabung dengan domain, grup, dan mesin. AWS Private CA Connector for Active Directory memungkinkan Anda menggunakan pengganti AWS Private CA drop-in yang dikelola sepenuhnya untuk perusahaan yang dikelola sendiri CAs tanpa perlu menyebarkan, menambal, atau memperbarui agen lokal atau server proxy.
Anda dapat mengatur AWS Private CA integrasi dengan direktori Anda melalui Directory Service konsol, konsol AWS Private CA
Connector for Active Directory, atau dengan memanggil CreateTemplateAPI. Untuk mengatur integrasi Private CA melalui konsol AWS Private CA Connector for Active Directory, lihat Membuat template konektor. Lihat langkah-langkah berikut tentang cara mengatur integrasi ini dari Directory Service konsol.
Menyiapkan AWS Private CA Konektor untuk AD
Untuk membuat konektor CA Pribadi untuk Active Directory
Masuk ke Konsol Manajemen AWS dan buka Directory Service konsol dihttps://console.aws.amazon.com/directoryservicev2/
. Pada halaman Direktori, pilih ID direktori Anda.
Di bawah tab Manajemen Aplikasi dan bagian AWS aplikasi & layanan, pilih AWS Private CA Konektor untuk AD.
Pada halaman Create Private CA certificate for Active Directory, selesaikan langkah-langkah untuk membuat konektor Private CA for Active Directory.
Untuk informasi selengkapnya, lihat Membuat konektor.
Melihat AWS Private CA Konektor untuk AD
Untuk melihat detail konektor CA Pribadi
Masuk ke Konsol Manajemen AWS dan buka Directory Service konsol dihttps://console.aws.amazon.com/directoryservicev2/
. Pada halaman Direktori, pilih ID direktori Anda.
Di bawah tab Manajemen Aplikasi dan bagian AWS aplikasi & layanan, lihat konektor CA Pribadi Anda dan CA Pribadi terkait. Bidang berikut menampilkan:
AWS Private CA Connector ID — Pengidentifikasi unik untuk AWS Private CA konektor. Pilih untuk melihat halaman detail.
AWS Private CA subjek — Informasi mengenai nama yang dibedakan untuk CA. Pilih untuk melihat halaman detail.
Status - Hasil pemeriksaan status untuk AWS Private CA Konektor dan AWS Private CA:
Aktif — Kedua cek lulus
1/2 pemeriksaan gagal - Satu pemeriksaan gagal
Gagal - Kedua pemeriksaan gagal
Untuk detail status yang gagal, arahkan kursor ke hyperlink untuk melihat pemeriksaan mana yang gagal.
Status Pendaftaran Sertifikat DC - Pemeriksaan status untuk status sertifikat pengontrol domain:
Diaktifkan - Pendaftaran sertifikat diaktifkan
Dinonaktifkan - Pendaftaran sertifikat dinonaktifkan
Tanggal dibuat — Saat AWS Private CA Konektor dibuat.
Untuk informasi selengkapnya, lihat Lihat detail konektor.
Tabel berikut menunjukkan status yang berbeda untuk pendaftaran sertifikat pengontrol domain untuk AWS Microsoft AD Terkelola dengan. AWS Private CA
| Status pendaftaran DC | Deskripsi | Tindakan yang diperlukan |
|---|---|---|
|
Diaktifkan |
Sertifikat pengontrol domain berhasil didaftarkan ke direktori Anda. |
Tidak ada tindakan diperlukan. |
|
Failed |
Pengaktifan atau penonaktifan pendaftaran sertifikat pengontrol domain gagal untuk direktori Anda. |
Jika tindakan pengaktifan Anda gagal, coba lagi dengan mematikan sertifikat pengontrol domain dan kemudian nyalakan lagi. Jika tindakan penonaktifan Anda gagal, coba lagi dengan mengaktifkan sertifikat pengontrol domain dan kemudian matikan lagi. Jika percobaan ulang gagal, hubungi AWS Support. |
|
Terganggu |
Pengontrol domain memiliki masalah konektivitas jaringan yang berkomunikasi dengan AWS Private CA titik akhir. |
Periksa kebijakan endpoint AWS Private CA VPC dan bucket S3 untuk mengizinkan konektivitas jaringan dengan direktori Anda. Untuk informasi selengkapnya, lihat Memecahkan masalah pesan pengecualian Otoritas Sertifikat AWS Pribadi dan Memecahkan masalah pencabutan AWS Private CA sertifikat. |
|
Nonaktif |
Pendaftaran sertifikat pengontrol domain berhasil dimatikan untuk direktori Anda. |
Tidak ada tindakan diperlukan. |
|
Menonaktifkan |
Penonaktifan pendaftaran sertifikat pengontrol domain sedang berlangsung. |
Tidak ada tindakan diperlukan. |
|
Mengaktifkan |
Pengaktifan pendaftaran sertifikat pengontrol domain sedang berlangsung. |
Tidak ada tindakan diperlukan. |
Mengkonfigurasi Kebijakan AD
AWS Private CA Konektor untuk AD harus dikonfigurasi sehingga pengontrol dan objek domain Microsoft AD yang AWS dikelola dapat meminta dan menerima sertifikat. Konfigurasikan objek kebijakan grup (GPO
Mengkonfigurasi kebijakan Direktori Aktif untuk pengontrol domain
Aktifkan kebijakan Direktori Aktif untuk pengontrol domain
-
Buka tab Jaringan & Keamanan.
-
Pilih AWS Private CA Konektor.
-
Pilih konektor yang ditautkan ke AWS Private CA subjek yang mengeluarkan sertifikat pengontrol domain ke direktori Anda.
-
Pilih Tindakan, Aktifkan sertifikat pengontrol domain.
penting
Konfigurasikan templat pengontrol domain yang valid sebelum Anda mengaktifkan sertifikat pengontrol domain untuk menghindari pembaruan yang tertunda.
Setelah Anda mengaktifkan pendaftaran sertifikat pengontrol domain, pengontrol domain direktori Anda meminta dan menerima sertifikat dari AWS Private CA Connector for AD.
Untuk mengubah penerbitan AWS Private CA sertifikat pengontrol domain, pertama-tama hubungkan yang baru AWS Private CA ke direktori Anda menggunakan AWS Private CA Konektor baru untuk AD. Sebelum Anda mengaktifkan pendaftaran sertifikat pada yang baru AWS Private CA, matikan pendaftaran sertifikat pada yang sudah ada:
Matikan sertifikat pengontrol domain
-
Buka tab Jaringan & Keamanan.
-
Pilih AWS Private CA Konektor.
-
Pilih konektor yang ditautkan ke AWS Private CA subjek yang mengeluarkan sertifikat pengontrol domain ke direktori Anda.
-
Pilih Tindakan, Nonaktifkan sertifikat pengontrol domain.
Mengkonfigurasi kebijakan Direktori Aktif untuk pengguna, komputer, dan mesin yang bergabung dengan domain
Konfigurasikan objek kebijakan grup
-
Connect ke instans admin Microsoft AD yang AWS dikelola dan buka Server Manager
dari menu Start. -
Di bawah Alat, pilih Manajemen Kebijakan Grup.
-
Di bawah Hutan dan Domain, temukan unit organisasi subdomain (OU) Anda (misalnya,
corpadalah unit organisasi subdomain Anda jika Anda mengikuti prosedur yang diuraikanMembuat Microsoft AD yang AWS Dikelola) dan klik kanan pada OU subdomain Anda. Pilih Buat GPO di domain ini, dan tautkan di sini dan masukkan PCA GPO untuk namanya. Pilih OK. -
GPO yang baru dibuat muncul mengikuti nama subdomain Anda. Klik kanan
PCA GPOdan pilih Edit. Jika kotak dialog terbuka dengan pesan peringatan yang menyatakanIni adalah tautan dan bahwa perubahan disebarkan secara global, akui pesan tersebut dengan memilih OK untuk melanjutkan. Jendela Editor Manajemen Kebijakan Grup terbuka. -
Di jendela Editor Manajemen Kebijakan Grup, buka Konfigurasi Komputer > Kebijakan > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Kunci Publik (pilih folder).
-
Di bawah Object Type, pilih Certificate Services Client - Certificate Enrollment Policy.
-
Di jendela Certificate Services Client - Certificate Enrollment Policy, ubah Model Konfigurasi menjadi Diaktifkan.
-
Konfirmasikan bahwa Kebijakan Pendaftaran Direktori Aktif dipilih dan Diaktifkan. Pilih Tambahkan.
-
Kotak dialog Server Kebijakan Pendaftaran Sertifikat terbuka. Masukkan titik akhir server kebijakan pendaftaran sertifikat yang Anda buat saat membuat konektor di bidang URI kebijakan server Enter enrollment. Biarkan Jenis Otentikasi sebagai Windows terintegrasi.
-
Pilih Validasi. Setelah validasi berhasil, pilih Tambah.
-
Kembali ke kotak dialog Certificate Services Client - Certificate Enrollment Policy dan pilih kotak di samping konektor yang baru dibuat untuk memastikan bahwa konektor adalah kebijakan pendaftaran default.
-
Pilih Kebijakan Pendaftaran Direktori Aktif dan pilih Hapus.
-
Di kotak dialog konfirmasi, pilih Ya untuk menghapus otentikasi berbasis LDAP.
-
Pilih Terapkan dan kemudian OK di jendela Certificate Services Client - Certificate Enrollment Policy. Kemudian tutup jendelanya.
-
Di bawah Object Type for the Public Key Policies folder, pilih Certificate Services Client - Auto-Enrollment.
-
Ubah opsi Model Konfigurasi ke Diaktifkan.
-
Konfirmasikan bahwa Perpanjang sertifikat kedaluwarsa dan opsi Perbarui Sertifikat keduanya dipilih. Biarkan pengaturan lain apa adanya.
-
Pilih Terapkan, lalu OK, dan tutup kotak dialog.
Selanjutnya, konfigurasikan Kebijakan Kunci Publik untuk konfigurasi pengguna dengan mengulangi langkah 6-17 di bagian Konfigurasi Pengguna> Kebijakan > Pengaturan Windows> Pengaturan Keamanan > Kebijakan Kunci Publik.
Setelah Anda selesai mengonfigurasi GPOs dan Kebijakan Kunci Publik, objek dalam domain meminta sertifikat dari AWS Private CA Connector for AD dan menerima sertifikat yang dikeluarkan oleh AWS Private CA.
Mengkonfirmasi AWS Private CA mengeluarkan sertifikat
Proses untuk memperbarui AWS Private CA untuk menerbitkan sertifikat untuk Microsoft AD yang AWS Dikelola dapat memakan waktu hingga 8 jam.
Anda dapat melakukan salah satu dari yang berikut:
-
Anda bisa menunggu periode waktu ini.
-
Anda dapat memulai ulang mesin gabungan domain Microsoft AD AWS Terkelola yang dikonfigurasi untuk menerima sertifikat dari AWS Private CA. Kemudian Anda dapat mengonfirmasi sertifikat yang AWS Private CA telah diterbitkan kepada anggota domain Microsoft AD AWS Terkelola Anda dengan mengikuti prosedur dalam Microsoftdokumentasi
. -
Anda dapat menggunakan PowerShell perintah berikut untuk memperbarui sertifikat untuk Microsoft AD yang AWS Dikelola:
certutil -pulse
