AWS Managed Microsoft AD の AWS Private CA Connector for AD をセットアップする - AWS Directory Service
AWS Private CA Connector for AD のセットアップAWS Private CA Connector for AD の表示AD ポリシーの設定証明書 AWS Private CA の発行の確認

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Managed Microsoft AD の AWS Private CA Connector for AD をセットアップする

AWS Managed Microsoft AD を AWS Private Certificate Authority (CA) と統合して、Active Directoryドメインに参加しているユーザー、グループ、マシンの証明書を発行および管理できます。 AWS Private CA Connector for Active Directoryを使用すると、ローカルエージェントやプロキシサーバーをデプロイ、パッチ適用、更新することなく、セルフマネージドエンタープライズ CAs のフルマネージド AWS Private CA ドロップインリプレースメントを使用できます。

注記

AWS Private CA Connector for を使用した AWS Managed Microsoft AD ドメインコントローラーのサーバー側の LDAPS 証明書登録Active Directoryは、現時点ではサポートされていません。ディレクトリのサーバー側の LDAPS を有効にするには、AWS 「 Managed Microsoft AD ディレクトリのサーバー側の LDAPS を有効にする方法」を参照してください。

ディレクトリと AWS Private CA の統合は、 AWS Directory Service コンソール、 Connector for Active Directoryコンソール、または CreateTemplate API AWS Private CA を呼び出すことで設定できます。 AWS Private CA Connector for Active Directoryコンソールを使用してプライベート CA 統合を設定するには、「コネクタテンプレートの作成」を参照してください。 AWS Directory Service コンソールからこの統合を設定する方法については、次の手順を参照してください。

AWS Private CA Connector for AD のセットアップ

  1. にサインイン AWS Management Console し、 で AWS Directory Service コンソールを開きますhttps://console.aws.amazon.com/directoryservicev2/

  2. [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。

  3. アプリケーション管理タブとAWS アプリケーションとサービスセクションで、「AWS Private CA Connector for AD」を選択します。[Active Directory 用のプライベート CA 証明書の作成] ページが表示されます。コンソールの手順に従って Active Directory Connector 用のプライベート CA を作成し、ご使用のプライベート CA に登録します。詳細については、「コネクタの作成」を参照してください。

  4. コネクタを作成したら、コネクタのステータスおよび関連するプライベート CA のステータスなど、 AWS Private CA Connector for AD の詳細を表示する方法について説明します。

次に、 AWS Private CA Connector for AD が証明書を発行できるように、 AWS Managed Microsoft AD のグループポリシーオブジェクトを設定します。

AWS Private CA Connector for AD の表示

  1. にサインイン AWS Management Console し、 で AWS Directory Service コンソールを開きますhttps://console.aws.amazon.com/directoryservicev2/

  2. [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。

  3. アプリケーション管理タブとAWS アプリケーションとサービスセクションで、プライベート CA コネクタと関連するプライベート CA を表示できます。デフォルトでは、以下のフィールドが表示されます。

    1. AWS Private CA コネクタ ID — AWS Private CA コネクタの一意の識別子。これを選択すると、その AWS Private CA コネクタの詳細ページが表示されます。

    2. AWS Private CA subject — CA の識別名に関する情報。こちらをクリックすると、その AWS Private CAの詳細ページが表示されます。

    3. ステータス — AWS Private CA Connector と のステータスチェックに基づきます AWS Private CA。両方のチェックに合格すると、[アクティブ] と表示されます。いずれかのチェックが失敗すると、[1/2 チェック失敗] と表示されます。両方のチェックが失敗すると、[失敗] と表示されます。失敗ステータスの詳細については、ハイパーリンクにカーソルを合わせると、どのチェックが失敗したか確認できます。コンソール内の指示に従い、修正します。

    4. 作成日 — AWS Private CA Connector が作成された日。

詳細については、「コネクタの詳細表示」を参照してください。

AD ポリシーの設定

AWS Managed Microsoft AD オブジェクトが証明書をリクエストおよび受信できるように、CA Connector for AD を設定する必要があります。この手順では、 が AWS Managed Microsoft AD オブジェクトに証明書 AWS Private CA を発行できるように、グループポリシーオブジェクト (GPO) を設定します。

  1. AWS Managed Microsoft AD 管理者インスタンスに接続し、スタートメニューから Server Manager を開きます。

  2. [ツール] で、[グループポリシー管理] を選択します。

  3. [フォーレストとドメイン] で、サブドメイン組織単位 (OU) を検索し (例えば、AWS Managed Microsoft AD の作成 で説明されている手順に従っている場合、サブドメイン組織単位は corp になります)、サブドメイン OU を右クリックします。[このドメインに GPO を作成してここにリンクする…] を選択し、名前に PCA GPO を入力します。[OK] を選択します。

  4. 新しく作成された GPO は、サブドメイン名の後に表示されます。PCA GPO を右クリックして [編集] を選択します。ダイアログボックスが開かれる間に、 というアラートメッセージが表示する場合は、[確認] を選択してメッセージを確認します。[グループポリシー管理エディター] が開きます。

  5. [グループポリシー管理エディター] で、[コンピュータの設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] (フォルダを選択) に移動します。

  6. [オブジェクトのタイプ][証明書サービスクライアント - 証明書登録ポリシー] を選択します。

  7. [証明書サービスクライアント – 証明書登録ポリシー] ウィンドウで、[設定モデル][有効] に変更します。

  8. [Active Directory 登録ポリシー][選択済み]、そして [有効] になっていることを確認します。[Add] (追加) を選択します。

  9. [証明書登録ポリシーサーバー] ダイアログボックスを開くはずです。コネクタを作成したときに生成された証明書登録ポリシーサーバーエンドポイントを [登録サーバーポリシー URI を入力] フィールドに入力します。[認証タイプ][Windows 統合] のままにします。

  10. [検証] を選択します。検証が成功したら、[追加] を選択します。

  11. [証明書サービスクライアント – 証明書登録ポリシー] に戻り、新しく作成したコネクタの横にあるダイアログボックスを選択して、コネクタをデフォルトの登録ポリシーにします。

  12. Active Directory 登録ポリシー」を選択し、「削除」を選択します。

  13. 確認ダイアログボックスで [はい] を選択して LDAP ベースの認証を削除します。

  14. [証明書サービスクライアント] > [証明書登録ポリシー] ウィンドウで [適用][確認] を選択し、閉じます。次に、ウィンドウを閉じます。

  15. [パブリックキーポリシー]フォルダーの[オブジェクトの種類]で「Certificate Services Client – 自動登録」を選択します。

  16. [設定モデル] オプションを [有効] に変更します。

  17. [期限切れの証明書を更新する][証明書を更新する] の両方がオンになっていることを確認します。他の設定はそのままにします。

  18. [適用][確認] の順に選択し、ダイアログボックスを閉じます。

次に、ユーザー設定用のパブリックキーポリシーを設定します。

  • [ユーザー設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] に移動します。ステップ 6 からステップ 21 までの手順に従って、ユーザー設定用のパブリックキーポリシーを設定します。

GPOs とパブリックキーポリシーの設定が完了すると、ドメイン内のオブジェクトは AWS Private CA Connector for AD に証明書をリクエストし、 によって発行された証明書を取得します AWS Private CA。

証明書 AWS Private CA の発行の確認

AWS Managed Microsoft AD の証明書を発行 AWS Private CA するために を更新するプロセスには、最大 8 時間かかる場合があります。

次のいずれかを試すことができます。

  • この期間を待つことができます。

  • から証明書を受信するように設定された AWS Managed Microsoft AD ドメイン参加マシンを再起動できます AWS Private CA。その後、 AWS Private CA が AWS Managed Microsoft AD ドメインのメンバーに証明書を発行したことを確認するには、 Microsoftドキュメントの手順に従ってください。

  • 次のPowerShellコマンドを使用して、 AWS Managed Microsoft AD の証明書を更新できます。

    certutil -pulse