AWS Managed Microsoft AD 用 AWS Private CA Connector for AD の設定
AWS Managed Microsoft AD を AWS Private Certificate Authority (CA) と統合して、Active Directory ドメインに参加しているユーザー、グループ、マシンの証明書を発行および管理できます。AWS Private CAConnector for Active Directory を設定すると、ローカルエージェントやプロキシサーバーをデプロイ、パッチ、更新しなくても、セルフマネージド型のエンタープライズ CA の代わりにフルマネージド AWS Private CA の当座の代用を使用できます。
ディレクトリと AWS Private CA の統合は、Directory Service コンソール、AWS Private CA Connector for Active Directory コンソール、または CreateTemplate API を呼び出して設定できます。AWS Private CA Connector for Active Directory コンソールを使用してプライベート CA 統合を設定するには、「コネクタテンプレートの作成」を参照してください。Directory Service コンソールからの統合を設定する手順については、以下のステップを参照してください。
AWS Private CA Connector for AD を設定する
Private CA Connector for Active Directory を作成するには
AWS マネジメントコンソール にサインインして、Directory Service で https://console.aws.amazon.com/directoryservicev2/
コンソールを開きます。 [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。
[アプリケーション管理] タブと [AWS アプリケーションとサービス] セクションで、[AWS Private CA Connector for AD] を選択します。
[Active Directory のプライベート CA 証明書を作成する] ページで、Active Directory Connector のプライベート CA を作成するステップを完了します。
詳細については、「コネクタの作成」を参照してください。
AWS Private CA Connector for AD を表示する
Private CA Connector の詳細を表示するには
AWS マネジメントコンソール にサインインして、Directory Service で https://console.aws.amazon.com/directoryservicev2/
コンソールを開きます。 [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。
[アプリケーション管理] タブと [AWS アプリケーションとサービス] セクションで、ユーザーの Private CA Connector とそれに関連するプライベート CA を表示します。以下のフィールドが表示されます。
[AWS Private CA コネクタ ID] — AWS Private CA コネクタの固有識別子。それを選択して、その詳細ページを表示します。
[AWS Private CA サブジェクト] — CA の識別名に関する情報。それを選択して、その詳細ページを表示します。
ステータス – AWS Private CA Connector と AWS Private CA のステータスチェック結果:
[アクティブ] – 両方のチェックが合格
[1/2 チェックが失敗] – 1 つのチェックが失敗
[失敗] — 両方のチェックが失敗
失敗したステータスの詳細については、ハイパーリンクにカーソルを合わせると、失敗したチェックが表示されます。
[DC 証明書の登録ステータス] – ドメインコントローラー証明書のステータスチェック:
[有効] — 証明書の登録が有効になっている
[無効] – 証明書の登録は無効になっている
[作成日] — AWS Private CA Connector が作成された日。
詳細については、「コネクタの詳細表示」を参照してください。
次の表は、AWS Private CA を使用した AWS Managed Microsoft AD のドメインコントローラー証明書登録のさまざまなステータスを示しています。
| DC 登録ステータス | 説明 | 必要なアクション |
|---|---|---|
|
有効 |
ドメインコントローラー証明書がディレクトリに正常に登録されました。 |
対処は必要ありません。 |
|
失敗 |
ディレクトリのドメインコントローラー証明書の登録の有効化または無効化に失敗しました。 |
有効化アクションが失敗した場合は、ドメインコントローラー証明書をオフにして再試行し、再度オンにします。無効化アクションが失敗した場合は、ドメインコントローラー証明書をオンにして再試行し、もう一度オフにします。再試行に失敗した場合は、AWS サポートにお問い合わせください。 |
|
[障害] |
ドメインコントローラーには、AWS Private CA エンドポイントとの通信に関するネットワーク接続の問題があります。 |
AWS Private CA VPC エンドポイントと S3 バケットポリシーをチェックして、ディレクトリとのネットワーク接続を許可します。詳細については、「Troubleshoot AWS Private Certificate Authority exception messages」および「Troubleshoot AWS Private CA certificate revocation issues」を参照してください。 |
|
無効 |
ディレクトリのドメインコントローラー証明書の登録が正常にオフになりました。 |
対処は必要ありません。 |
|
無効化 |
ドメインコントローラー証明書の登録の無効化が進行中です。 |
対処は必要ありません。 |
|
有効化 |
ドメインコントローラー証明書の登録の有効化が進行中です。 |
対処は必要ありません。 |
AD ポリシーの設定
AWS Managed Microsoft AD ドメインコントローラおよびオブジェクトが証明書をリクエストおよび受信できるように、AWS Private CA Connector for AD を設定する必要があります。AWS Private CA が AWS Managed Microsoft AD オブジェクトに証明書を発行できるように、グループポリシーオブジェクト (「GPO
ドメインコントローラーの Active Directory ポリシーの設定
ドメインコントローラーの Active Directory ポリシーを有効にする
-
[ネットワークとセキュリティ] タブを開きます。
-
[AWS Private CA コネクタ] を選択します。
-
ディレクトリにドメインコントローラー証明書を発行する AWS Private CA サブジェクトにリンクされたコネクタを選択します。
-
[アクション]、[ドメインコントローラー証明書を有効にする] の順に選択します。
重要
更新が遅れないように、ドメインコントローラー証明書を有効にする前に有効なドメインコントローラーテンプレートを設定します。
ドメインコントローラー証明書の登録を有効にすると、ディレクトリのドメインコントローラーは AWS Private CA Connector for AD から証明書をリクエストして受信します。
ドメインコントローラー証明書の AWS Private CA の発行を変更するには、まず新しい AWS Private CA Connector for AD を使用して新しい AWS Private CA をディレクトリに接続します。新しい AWS Private CA で証明書登録を有効にする前に、以下の既存のもので証明書登録をオフにします。
ドメインコントローラー証明書をオフにする
-
[ネットワークとセキュリティ] タブを開きます。
-
[AWS Private CA コネクタ] を選択します。
-
ディレクトリにドメインコントローラー証明書を発行する AWS Private CA サブジェクトにリンクされたコネクタを選択します。
-
[アクション]、[ドメインコントローラー証明書を無効にする] の順に選択します。
ドメインに参加しているユーザー、コンピュータ、マシンの Active Directory ポリシーの設定
グループポリシーオブジェクトを設定する
-
AWS Managed Microsoft AD 管理者インスタンスに接続し、[スタート] メニューから[サーバーマネージャ]
を開きます。 -
[ツール] で、[グループポリシー管理] を選択します。
-
[フォーレストとドメイン] で、サブドメイン組織単位 (OU) を検索し (例えば、AWS Managed Microsoft AD の作成 で説明されている手順に従っている場合、サブドメイン組織単位は
corpになります)、サブドメイン OU を右クリックします。[このドメインに GPO を作成してここにリンクする] を選択し、名前に PCA GPO を入力します。[OK] を選択してください。 -
新しく作成された GPO は、サブドメイン名の後に表示されます。
PCA GPOを右クリックして、[編集] を選択します。ダイアログボックスが開き、「これはリンクであり、変更は全体に適用されます」という警告メッセージが表示されたら、[OK] を選択してメッセージを了承して続行します。[グループポリシー管理エディター] が開きます。 -
[グループポリシー管理エディター] で、[コンピュータの設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] (フォルダを選択) に移動します。
-
[オブジェクトのタイプ] で [証明書サービスクライアント - 証明書登録ポリシー] を選択します。
-
[証明書サービスクライアント – 証明書登録ポリシー] ウィンドウで、[設定モデル] を [有効] に変更します。
-
[Active Directory 登録ポリシー] が オン で、[有効] になっていることを確認します。[Add] (追加) を選択します。
-
[証明書登録ポリシーサーバー] ダイアログボックスを開きます。コネクタを作成したときに生成された証明書登録ポリシーサーバーエンドポイントを [登録サーバーポリシー URI を入力] フィールドに入力します。[認証タイプ] は [Windows 統合] のままにします。
-
[検証] を選択します。検証が成功したら、[追加] を選択します。
-
[証明書サービスクライアント – 証明書登録ポリシー] に戻り、新しく作成したコネクタの横にあるダイアログボックスを選択して、コネクタをデフォルトの登録ポリシーにします。
-
[Active Directory 登録ポリシー] を選択し、[削除] を選択します。
-
確認ダイアログボックスで [はい] を選択して LDAP ベースの認証を削除します。
-
[証明書サービスクライアント] > [証明書登録ポリシー] ウィンドウで [適用] と [確認] を選択し、閉じます。次に、ウィンドウを閉じます。
-
[パブリックキーポリシー]フォルダーの[オブジェクトの種類]で「Certificate Services Client – 自動登録」を選択します。
-
[設定モデル] オプションを [有効] に変更します。
-
[期限切れの証明書を更新する] と [証明書を更新する] の両方が選択されていることを確認します。他の設定はそのままにします。
-
[適用]、[確認] の順に選択し、ダイアログボックスを閉じます。
次に、[ユーザー設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] セクションのステップ 6~17 を繰り返して、ユーザー設定のパブリックキーポリシーを設定します。
GPO とパブリックキーポリシーの設定が完了後、ドメイン内のオブジェクトは AWS Private CA Connector for AD に証明書を要求し、AWS Private CA によって発行された証明書を取得します。
AWS Private CA が証明書を発行したことを確認する
AWS Managed Microsoft AD の証明書を発行するために AWS Private CA を更新するプロセスには、最大 8 時間かかる場合があります。
次のいずれかを試すことができます。
-
この期間を待つことができます。
-
AWS Private CA から証明書を受信するように設定された AWS Managed Microsoft AD ドメイン参加マシンを再起動できます。その後、「Microsoft ドキュメント
」の手順に従って、AWS Private CA が AWS Managed Microsoft AD ドメインのメンバーに証明書を発行したことを確認できます。 -
次の PowerShell コマンドを使用して、AWS Managed Microsoft AD の証明書を更新できます:
certutil -pulse
