Configurazione di AWS Private CA Connector for AD per AWS Managed Microsoft AD - AWS Directory Service
Configurazione di AWS Private CA Connector for ADVisualizzazione di AWS Private CA Connector for ADConfigurazione delle politiche ADConferma dell'emissione di un AWS Private CA certificato

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di AWS Private CA Connector for AD per AWS Managed Microsoft AD

Puoi integrare AWS Managed Microsoft AD con AWS Private Certificate Authority (CA) per emettere e gestire certificati per i controller di dominio Active Directory, gli utenti aggiunti al dominio, i gruppi e i computer. AWS Private CA Connector for Active Directory ti consente di utilizzare un sostituto AWS Private CA drop-in completamente gestito per la tua azienda autogestita CAs senza la necessità di distribuire, applicare patch o aggiornare agenti locali o server proxy.

Puoi configurare AWS Private CA l'integrazione con la tua directory tramite la AWS Directory Service console, la console AWS Private CA Connector for Active Directory o chiamando l'API. CreateTemplate Per configurare l'integrazione di Private CA tramite la console AWS Private CA Connector for Active Directory, vedi Creazione di un modello di connettore. Consulta i seguenti passaggi su come configurare questa integrazione dalla AWS Directory Service console.

Configurazione di AWS Private CA Connector for AD

Per creare un connettore CA privato per Active Directory

  1. Accedi a AWS Management Console e apri la AWS Directory Service console all'indirizzohttps://console.aws.amazon.com/directoryservicev2/.

  2. Nella pagina Directories (Directory), scegli l'ID della directory.

  3. Nella scheda Gestione delle AWS applicazioni e nella sezione App e servizi, scegli AWS Private CA Connector for AD.

  4. Nella pagina Crea certificato CA privato per Active Directory, completa i passaggi per creare il connettore CA privata per Active Directory.

Per ulteriori informazioni, consulta Creazione di un connettore.

Visualizzazione di AWS Private CA Connector for AD

Per visualizzare i dettagli del connettore CA privato

  1. Accedi AWS Management Console e apri la AWS Directory Service console all'indirizzohttps://console.aws.amazon.com/directoryservicev2/.

  2. Nella pagina Directories (Directory), scegli l'ID della directory.

  3. Nella scheda Gestione delle AWS applicazioni e nella sezione app e servizi, visualizza i connettori CA privati e la CA privata associata. Vengono visualizzati i seguenti campi:

    1. AWS Private CA ID connettore: l'identificatore univoco di un AWS Private CA connettore. Sceglilo per visualizzare la pagina dei dettagli.

    2. AWS Private CA oggetto: informazioni relative al nome distinto della CA. Sceglilo per visualizzare la pagina dei dettagli.

    3. Status: risultati del controllo dello stato del AWS Private CA Connector e AWS Private CA:

      • Attivo: entrambi i controlli vengono superati

      • 1/2 controlli non riusciti: un controllo fallisce

      • Fallito: entrambi i controlli hanno esito negativo

      Per informazioni sullo stato dell'errore, passa il mouse sul collegamento ipertestuale per vedere quale controllo non è riuscito.

    4. Stato di registrazione dei certificati DC: verifica dello stato dello stato del certificato del controller di dominio:

      • Abilitato: la registrazione dei certificati è abilitata

      • Disabilitata: la registrazione dei certificati è disabilitata

    5. Data di creazione: quando è stato creato il AWS Private CA connettore.

Per ulteriori informazioni, consulta Visualizzazione dei dettagli del connettore.

La tabella seguente mostra i diversi stati per la registrazione dei certificati dei controller di dominio per Managed AWS Microsoft AD con. AWS Private CA

Stato della registrazione DC Descrizione Azione richiesta

Abilitato

I certificati dei controller di dominio sono stati registrati correttamente nella directory.

Nessuna operazione necessaria.

Non riuscito

L'attivazione o la disabilitazione della registrazione dei certificati del controller di dominio non è riuscita per la tua directory.

Se l'operazione di attivazione fallisce, riprova disattivando i certificati del controller di dominio e riaccendendendoli. Se l'azione di disabilitazione fallisce, riprova attivando i certificati dei controller di dominio e quindi disattivando nuovamente. Se il nuovo tentativo fallisce, contatta l' AWS assistenza.

Impaired (Insufficiente)

I controller di dominio presentano problemi di connettività di rete nella comunicazione con gli endpoint. AWS Private CA

Controlla le policy degli endpoint AWS Private CA VPC e dei bucket S3 per consentire la connettività di rete con la tua directory. Per ulteriori informazioni, consulta Risoluzione dei messaggi di eccezione dell'Autorità di certificazione AWS privata e Risoluzione dei problemi di revoca dei certificati. AWS Private CA

Disabilitato

La registrazione dei certificati del controller di dominio è stata disattivata correttamente per la tua directory.

Nessuna operazione necessaria.

Disabilitazione

La disabilitazione della registrazione dei certificati del controller di dominio è in corso.

Nessuna operazione necessaria.

Abilitazione

L'attivazione della registrazione dei certificati del controller di dominio è in corso.

Nessuna operazione necessaria.

Configurazione delle politiche AD

AWS Private CA Connector for AD deve essere configurato in modo che i controller di dominio e gli oggetti di Microsoft AD AWS gestiti possano richiedere e ricevere certificati. Configura il tuo oggetto di policy di gruppo (GPO) in modo da AWS Private CA poter emettere certificati per oggetti Microsoft AD AWS gestiti.

Configurazione delle politiche di Active Directory per i controller di dominio

Attiva i criteri di Active Directory per i controller di dominio

  1. Apri la scheda Rete e sicurezza.

  2. Scegli AWS Private CA Connettori.

  3. Scegli un connettore collegato all' AWS Private CA oggetto che rilascia i certificati del controller di dominio nella tua directory.

  4. Scegli Azioni, Abilita i certificati del controller di dominio.

Importante

Configura un modello di controller di dominio valido prima di attivare i certificati dei controller di dominio per evitare aggiornamenti ritardati.

Dopo aver attivato la registrazione dei certificati dei controller di dominio, i controller di dominio della directory richiedono e ricevono certificati da AWS Private CA Connector for AD.

Per modificare l'emissione dei certificati dei controller di dominio, collega innanzitutto i nuovi certificati AWS Private CA alla directory utilizzando un nuovo AWS Private CA Connector AWS Private CA for AD. Prima di attivare la registrazione dei certificati su quello nuovo AWS Private CA, disattiva la registrazione dei certificati su quello esistente:

Disattiva i certificati del controller di dominio

  1. Apri la scheda Rete e sicurezza.

  2. Scegli AWS Private CA Connettori.

  3. Scegli un connettore collegato all' AWS Private CA oggetto che rilascia i certificati del controller di dominio nella tua directory.

  4. Scegli Azioni, Disabilita i certificati del controller di dominio.

Configurazione delle politiche di Active Directory per utenti, computer e macchine aggiunti al dominio

Configura gli oggetti delle politiche di gruppo

  1. Connect all'istanza di amministrazione di Microsoft AD AWS Managed e apri Server Manager dal menu Start.

  2. In Strumenti, scegli Gestione dei criteri di gruppo.

  3. In Foresta e domini, individua l'unità organizzativa (OU) del sottodominio (ad esempio, corp è l'unità organizzativa del sottodominio se hai seguito le procedure descritte inCreazione del tuo AWS Managed Microsoft AD) e fai clic con il pulsante destro del mouse sull'unità organizzativa del sottodominio. Scegli Crea un GPO in questo dominio, collegalo qui e inserisci PCA GPO come nome. Scegli OK.

  4. Il GPO appena creato viene visualizzato dopo il nome del sottodominio. Fai clic con il pulsante destro del mouse su PCA GPO e scegli Modifica. Se si apre una finestra di dialogo con un messaggio di avviso che indica che si tratta di un collegamento e che le modifiche vengono propagate a livello globale, confermate il messaggio scegliendo OK per continuare. Viene visualizzata la finestra Group Policy Management Editor.

  5. Nella finestra Group Policy Management Editor, vai a Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Politiche a chiave pubblica (scegli la cartella).

  6. In Tipo di oggetto, scegli Certificate Services Client - Certificate Enrollment Policy.

  7. Nella finestra Certificate Services Client - Certificate Enrollment Policy, modificate il modello di configurazione su Abilitato.

  8. Conferma che la politica di registrazione di Active Directory sia selezionata e abilitata. Scegli Aggiungi.

  9. Viene visualizzata la finestra di dialogo Certificate Enrollment Policy Server. Immettete l'endpoint del server della politica di iscrizione del certificato generato al momento della creazione del connettore nel campo Enter enrollment Server Policy URI. Lascia che il tipo di autenticazione sia integrato in Windows.

  10. Scegli Convalida. Una volta completata la convalida, scegli Aggiungi.

  11. Tornate alla finestra di dialogo Certificate Services Client - Certificate Enrollment Policy e selezionate la casella accanto al connettore appena creato per assicurarvi che il connettore sia la politica di registrazione predefinita.

  12. Scegli Active Directory Enrollment Policy e scegli Rimuovi.

  13. Nella finestra di dialogo di conferma, scegli per eliminare l'autenticazione basata su LDAP.

  14. Scegli Applica e quindi OK nella finestra Certificate Services Client - Certificate Enrollment Policy. Quindi chiudi la finestra.

  15. In Tipo di oggetto per la cartella Public Key Policies, scegli Certificate Services Client - Auto-Enrollment.

  16. Modificate l'opzione Modello di configurazione su Abilitato.

  17. Conferma che le opzioni Rinnova certificati scaduti e Aggiorna certificati siano entrambe selezionate. Lascia le altre impostazioni così come sono.

  18. Scegliete Applica, quindi OK e chiudete la finestra di dialogo.

Quindi, configura le politiche a chiave pubblica per la configurazione dell'utente ripetendo i passaggi 6-17 nella sezione Configurazione utente > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Politiche a chiave pubblica.

Dopo aver completato la configurazione GPOs e le politiche a chiave pubblica, gli oggetti del dominio richiedono i certificati da AWS Private CA Connector for AD e ricevono i certificati emessi da. AWS Private CA

Conferma dell'emissione di un AWS Private CA certificato

Il processo di aggiornamento AWS Private CA per l'emissione di certificati per AWS Managed Microsoft AD può richiedere fino a 8 ore.

Puoi effettuare una delle seguenti operazioni:

  • Puoi aspettare questo periodo di tempo.

  • È possibile riavviare i computer collegati al dominio Microsoft AD AWS gestito che erano configurati per ricevere certificati da AWS Private CA. Puoi quindi confermare che i certificati sono AWS Private CA stati emessi per i membri del tuo dominio Microsoft AD AWS gestito seguendo la procedura riportata nella Microsoftdocumentazione.

  • È possibile utilizzare il PowerShell comando seguente per aggiornare i certificati per AWS Managed Microsoft AD:

    certutil -pulse