Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione di AWS Private CA Connector for AD per AWS Managed Microsoft AD
Puoi integrare AWS Managed Microsoft AD con [AWS Autorità di certificazione privata (CA)](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html) per emettere e gestire certificati per i controller di dominio Active Directory, gli utenti aggiunti al dominio, i gruppi e i computer. AWS Private CA Connector for Active Directory ti consente di utilizzare un sostituto AWS Private CA drop-in completamente gestito per la tua azienda autogestita CAs senza la necessità di distribuire, applicare patch o aggiornare agenti locali o server proxy.
Puoi configurare AWS Private CA l'integrazione con la tua directory tramite la Directory Service console, la console AWS Private CA Connector for Active Directory o chiamando l'API. [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html) Per configurare l'integrazione di Private CA tramite la console AWS Private CA Connector for Active Directory, vedi [Creazione di un modello di connettore](https://docs.aws.amazon.com/privateca/latest/userguide/create-ad-template.html). Consulta i seguenti passaggi su come configurare questa integrazione dalla Directory Service console.
## Configurazione di AWS Private CA Connector for AD
**Per creare un connettore CA privato per Active Directory**
1. Accedi a Console di gestione AWS e apri la Directory Service console all'indirizzo[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Nella pagina **Directories** (Directory), scegli l'ID della directory.
1. Nella scheda **Gestione delle AWS applicazioni** **e nella sezione App e servizi**, scegli **AWS Private CA Connector for AD**.
1. Nella pagina **Crea certificato CA privato per Active Directory**, completa i passaggi per creare il connettore CA privata per Active Directory.
Per ulteriori informazioni, consulta [Creazione di un connettore](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html).
## Visualizzazione di AWS Private CA Connector for AD
**Per visualizzare i dettagli del connettore CA privato**
1. Accedi a Console di gestione AWS e apri la Directory Service console all'indirizzo[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Nella pagina **Directories** (Directory), scegli l'ID della directory.
1. Nella scheda **Gestione delle AWS applicazioni** **e nella sezione app e servizi**, visualizza i connettori CA privati e la CA privata associata. Vengono visualizzati i seguenti campi:
1. **AWS Private CA ID connettore**: l'identificatore univoco di un AWS Private CA connettore. Sceglilo per visualizzare la pagina dei dettagli.
1. **AWS Private CA oggetto**: informazioni relative al nome distinto della CA. Sceglilo per visualizzare la pagina dei dettagli.
1. **Status**: risultati del controllo dello stato del AWS Private CA Connector e AWS Private CA:
+ **Attivo**: entrambi i controlli vengono superati
+ **1/2 controlli non riusciti**: un controllo fallisce
+ **Fallito**: entrambi i controlli hanno esito negativo
Per informazioni sullo stato dell'errore, passa il mouse sul collegamento ipertestuale per vedere quale controllo non è riuscito.
1. Stato di **registrazione dei certificati DC: verifica dello stato dello stato** del certificato del controller di dominio:
+ **Abilitato**: la registrazione dei certificati è abilitata
+ **Disabilitata**: la registrazione dei certificati è disabilitata
1. **Data di creazione**: quando è stato creato il AWS Private CA connettore.
Per ulteriori informazioni, consulta [Visualizzazione dei dettagli del connettore](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html).
La tabella seguente mostra i diversi stati per la registrazione dei certificati dei controller di dominio per Managed AWS Microsoft AD con. AWS Private CA
| Stato della registrazione DC | Description | Operazione richiesta |
| --- | --- | --- |
| Abilitato | I certificati dei controller di dominio sono stati registrati correttamente nella directory. | Nessuna operazione necessaria. |
| Non riuscito | L'attivazione o la disabilitazione della registrazione dei certificati del controller di dominio non è riuscita per la tua directory. | Se l'operazione di attivazione fallisce, riprova disattivando i certificati del controller di dominio e riaccendendendoli. Se l'azione di disabilitazione fallisce, riprova attivando i certificati dei controller di dominio e quindi disattivando nuovamente. Se il nuovo tentativo fallisce, contatta l' AWS assistenza. |
| Impaired (Insufficiente) | I controller di dominio presentano problemi di connettività di rete nella comunicazione con gli endpoint. AWS Private CA | Controlla le policy degli endpoint AWS Private CA VPC e dei bucket S3 per consentire la connettività di rete con la tua directory. [Per ulteriori informazioni, consulta [Risoluzione dei messaggi di eccezione dell'Autorità di certificazione AWS privata e Risoluzione dei problemi di revoca dei certificati](https://docs.aws.amazon.com/privateca/latest/userguide/PCATsExceptions.html). AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/troubleshoot-certificate-revocation.html) |
| Disabilitato | La registrazione dei certificati del controller di dominio è stata disattivata correttamente per la tua directory. | Nessuna operazione necessaria. |
| Disabilitazione | La disabilitazione della registrazione dei certificati del controller di dominio è in corso. | Nessuna operazione necessaria. |
| Abilitazione | L'attivazione della registrazione dei certificati del controller di dominio è in corso. | Nessuna operazione necessaria. |
## Configurazione delle politiche AD
AWS Private CA Connector for AD deve essere configurato in modo che i controller di dominio e gli oggetti di Microsoft AD AWS gestiti possano richiedere e ricevere certificati. Configura il tuo oggetto di policy di gruppo ([GPO](https://learn.microsoft.com/previous-versions/windows/desktop/policy/group-policy-objects)) in modo da AWS Private CA poter emettere certificati per oggetti Microsoft AD AWS gestiti.
### Configurazione delle politiche di Active Directory per i controller di dominio
**Attiva i criteri di Active Directory per i controller di dominio**
1. Apri la scheda **Rete e sicurezza**.
1. Scegli **AWS Private CA Connettori**.
1. Scegli un connettore collegato all' AWS Private CA oggetto che rilascia i certificati del controller di dominio nella tua directory.
1. Scegli **Azioni**, **Abilita i certificati del controller di dominio**.
**Importante**
Configura un modello di controller di dominio valido prima di attivare i certificati dei controller di dominio per evitare aggiornamenti ritardati.
Dopo aver attivato la registrazione dei certificati dei controller di dominio, i controller di dominio della directory richiedono e ricevono certificati da AWS Private CA Connector for AD.
Per modificare l'emissione dei certificati dei controller di dominio, collega innanzitutto i nuovi certificati AWS Private CA alla directory utilizzando un nuovo AWS Private CA Connector AWS Private CA for AD. Prima di attivare la registrazione dei certificati su quello nuovo AWS Private CA, disattiva la registrazione dei certificati su quello esistente:
**Disattiva i certificati del controller di dominio**
1. Apri la scheda **Rete e sicurezza**.
1. Scegli **AWS Private CA Connettori**.
1. Scegli un connettore collegato all' AWS Private CA oggetto che rilascia i certificati del controller di dominio nella tua directory.
1. Scegli **Azioni**, **Disabilita i certificati del controller di dominio**.
### Configurazione delle politiche di Active Directory per utenti, computer e macchine aggiunti al dominio
**Configura gli oggetti delle politiche di gruppo**
1. Connect all'istanza di amministrazione di Microsoft AD AWS Managed e apri [Server Manager](https://learn.microsoft.com/windows-server/administration/server-manager/server-manager) dal menu **Start**.
1. In **Strumenti**, scegli **Gestione dei criteri di gruppo**.
1. In **Foresta e domini**, individua l'unità organizzativa (OU) del sottodominio (ad esempio, `corp` è l'unità organizzativa del sottodominio se hai seguito le procedure descritte in[Creazione del tuo AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)) e fai clic con il pulsante destro del mouse sull'unità organizzativa del sottodominio. Scegli **Crea un GPO in questo dominio, collegalo qui e** inserisci PCA GPO come nome. Scegli **OK**.
1. Il GPO appena creato viene visualizzato dopo il nome del sottodominio. **Fai clic con il pulsante destro del mouse su `PCA GPO` e scegli Modifica.** Se si apre una finestra di dialogo con un messaggio di avviso che indica che si tratta di un collegamento e che le modifiche vengono propagate a livello globale, confermate il messaggio scegliendo **OK per continuare**. Viene visualizzata la finestra **Group Policy Management Editor**.
1. Nella finestra **Group Policy Management Editor**, vai a **Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Politiche a chiave pubblica** (scegli la cartella).
1. In **Tipo di oggetto**, scegli **Certificate Services Client - Certificate Enrollment Policy.**
1. **Nella finestra **Certificate Services Client - Certificate Enrollment Policy**, modificate il modello di **configurazione** su Abilitato.**
1. **Conferma che la **politica di registrazione di Active Directory** sia selezionata e abilitata.** Scegliere **Aggiungi**.
1. Viene visualizzata la **finestra di dialogo Certificate Enrollment Policy Server.** Immettete l'endpoint del server della politica di iscrizione del certificato generato al momento della creazione del connettore nel **campo Enter enrollment** Server Policy URI. **Lascia che il tipo di **autenticazione sia integrato in Windows**.**
1. Scegli **Convalida.** **Una volta completata la convalida, scegli Aggiungi.**
1. **Tornate alla finestra di dialogo Certificate Services Client - Certificate Enrollment Policy** e selezionate la casella accanto al connettore appena creato per assicurarvi che il connettore sia la politica di registrazione predefinita.
1. **Scegli **Active Directory Enrollment** Policy e scegli Rimuovi.**
1. Nella finestra di dialogo di conferma, scegli **Sì** per eliminare l'autenticazione basata su LDAP.
1. Scegli **Applica** e quindi **OK nella finestra** **Certificate Services Client - Certificate Enrollment** Policy. Quindi chiudi la finestra.
1. In **Tipo di oggetto** per la **cartella Public Key Policies, scegli Certificate Services Client - Auto-Enrollment**.
1. **Modificate l'opzione **Modello di configurazione** su Abilitato.**
1. Conferma che le opzioni **Rinnova certificati scaduti** e **Aggiorna certificati** siano entrambe selezionate. Lascia le altre impostazioni così come sono.
1. Scegliete **Applica**, quindi **OK** e chiudete la finestra di dialogo.
Quindi, configurate le politiche a chiave pubblica per la configurazione dell'utente ripetendo i passaggi 6-17 nella sezione **Configurazione utente > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Politiche a chiave pubblica**.
Dopo aver completato la configurazione GPOs e le politiche a chiave pubblica, gli oggetti del dominio richiedono i certificati da AWS Private CA Connector for AD e ricevono i certificati emessi da. AWS Private CA
## Conferma dell'emissione di un AWS Private CA certificato
Il processo di aggiornamento AWS Private CA per l'emissione di certificati per AWS Managed Microsoft AD può richiedere fino a 8 ore.
Puoi effettuare una delle seguenti operazioni:
+ Puoi aspettare questo periodo di tempo.
+ È possibile riavviare i computer collegati al dominio Microsoft AD AWS gestito che erano configurati per ricevere certificati da AWS Private CA. Puoi quindi confermare che i certificati sono AWS Private CA stati emessi per i membri del tuo dominio Microsoft AD AWS gestito seguendo la procedura riportata nella [Microsoftdocumentazione](https://learn.microsoft.com/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in).
+ È possibile utilizzare il PowerShell comando seguente per aggiornare i certificati per AWS Managed Microsoft AD:
```
certutil -pulse
```