翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Managed Microsoft AD の AWS Private CA Connector for AD をセットアップする
AWS Managed Microsoft AD を AWS Private Certificate Authority (CA) と統合して、Active Directory ドメインコントローラー、ドメインに参加しているユーザー、グループ、マシンの証明書を発行および管理できます。Active Directory 用 AWS Private CA コネクタを使用すると、ローカルエージェントまたはプロキシサーバーをデプロイ、パッチ適用、更新することなく、セルフマネージド型エンタープライズ CAs の完全マネージド型 AWS Private CA ドロップイン置換を使用できます。
ディレクトリと AWS Private CA の統合を設定するには、 Directory Service コンソール、 AWS Private CA Connector for Active Directory コンソール、または CreateTemplate API を呼び出します。 AWS Private CA Connector for Active Directory コンソールを使用してプライベート CA 統合を設定するには、「コネクタテンプレートの作成」を参照してください。 Directory Service コンソールからこの統合を設定する方法については、次の手順を参照してください。
AWS Private CA Connector for AD のセットアップ
Private CA Connector for Active Directory を作成するには
にサインイン AWS マネジメントコンソール し、 で Directory Service コンソールを開きますhttps://console.aws.amazon.com/directoryservicev2/
。 [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。
[アプリケーション管理] タブと [AWS アプリケーションとサービス] セクションで、[AWS Private CA Connector for AD] を選択します。
[Active Directory のプライベート CA 証明書を作成する] ページで、Active Directory Connector のプライベート CA を作成するステップを完了します。
詳細については、「コネクタの作成」を参照してください。
AWS Private CA Connector for AD の表示
Private CA Connector の詳細を表示するには
にサインイン AWS マネジメントコンソール し、 で Directory Service コンソールを開きますhttps://console.aws.amazon.com/directoryservicev2/
。 [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。
[アプリケーション管理] タブと [AWS アプリケーションとサービス] セクションで、ユーザーの Private CA Connector とそれに関連するプライベート CA を表示します。以下のフィールドが表示されます。
AWS Private CA コネクタ ID – AWS Private CA コネクタの一意の識別子。それを選択して、その詳細ページを表示します。
AWS Private CA subject – CA の識別名に関する情報。それを選択して、その詳細ページを表示します。
ステータス – AWS Private CA Connector のステータスチェックの結果と AWS Private CA:
[アクティブ] – 両方のチェックが合格
[1/2 チェックが失敗] – 1 つのチェックが失敗
[失敗] — 両方のチェックが失敗
失敗ステータスの詳細については、ハイパーリンクにカーソルを合わせると、失敗したチェックが表示されます。
[DC 証明書の登録ステータス] – ドメインコントローラー証明書のステータスチェック:
[有効] — 証明書の登録が有効になっている
[無効] – 証明書の登録は無効になっている
作成日 – AWS Private CA コネクタが作成された日時。
詳細については、「コネクタの詳細表示」を参照してください。
次の表は、 を使用した AWS Managed Microsoft AD のドメインコントローラー証明書登録のさまざまなステータスを示しています AWS Private CA。
| DC 登録ステータス | 説明 | 必要なアクション |
|---|---|---|
|
有効 |
ドメインコントローラー証明書がディレクトリに正常に登録されました。 |
対処は必要ありません。 |
|
失敗 |
ディレクトリのドメインコントローラー証明書の登録の有効化または無効化に失敗しました。 |
有効化アクションが失敗した場合は、ドメインコントローラー証明書をオフにして再試行し、再度オンにします。無効化アクションが失敗した場合は、ドメインコントローラー証明書をオンにして再試行し、もう一度オフにします。再試行に失敗した場合は、 AWS サポートにお問い合わせください。 |
|
[障害] |
ドメインコントローラーには、 AWS Private CA エンドポイントとの通信に関するネットワーク接続の問題があります。 |
AWS Private CA VPC エンドポイントと S3 バケットポリシーをチェックして、ディレクトリとのネットワーク接続を許可します。詳細については、AWS 「プライベート認証機関の例外メッセージのトラブルシューティング」およびAWS Private CA 「証明書失効問題のトラブルシューティング」を参照してください。 |
|
Disabled |
ディレクトリのドメインコントローラー証明書の登録が正常にオフになりました。 |
対処は必要ありません。 |
|
無効化 |
ドメインコントローラー証明書の登録の無効化が進行中です。 |
対処は必要ありません。 |
|
有効化 |
ドメインコントローラー証明書の登録の有効化が進行中です。 |
対処は必要ありません。 |
AD ポリシーの設定
AWS Private CA Connector for AD は、 AWS Managed Microsoft AD ドメインコントローラーとオブジェクトが証明書をリクエストおよび受信できるように設定する必要があります。が AWS Managed Microsoft AD オブジェクトに証明書 AWS Private CA を発行できるように、グループポリシーオブジェクト (GPO
ドメインコントローラーの Active Directory ポリシーの設定
ドメインコントローラーの Active Directory ポリシーを有効にする
-
[ネットワークとセキュリティ] タブを開きます。
-
[AWS Private CA コネクタ] を選択します。
-
ディレクトリにドメインコントローラー証明書を発行する AWS Private CA サブジェクトにリンクされたコネクタを選択します。
-
[アクション]、[ドメインコントローラー証明書を有効にする] の順に選択します。
重要
更新が遅れないように、ドメインコントローラー証明書を有効にする前に有効なドメインコントローラーテンプレートを設定します。
ドメインコントローラー証明書の登録を有効にすると、ディレクトリのドメインコントローラーは AWS Private CA Connector for AD から証明書をリクエストして受信します。
ドメインコントローラー証明書 AWS Private CA の発行を変更するには、まず新しい AWS Private CA Connector for AD を使用して新しい AWS Private CA をディレクトリに接続します。新しい で証明書登録を有効にする前に AWS Private CA、既存の証明書登録をオフにします。
ドメインコントローラー証明書をオフにする
-
[ネットワークとセキュリティ] タブを開きます。
-
[AWS Private CA コネクタ] を選択します。
-
ディレクトリにドメインコントローラー証明書を発行する AWS Private CA サブジェクトにリンクされたコネクタを選択します。
-
[アクション]、[ドメインコントローラー証明書を無効にする] の順に選択します。
ドメインに参加しているユーザー、コンピュータ、マシンの Active Directory ポリシーの設定
グループポリシーオブジェクトを設定する
-
AWS Managed Microsoft AD 管理者インスタンスに接続し、スタートメニューから Server Manager
を開きます。 -
[ツール] で、[グループポリシー管理] を選択します。
-
[フォーレストとドメイン] で、サブドメイン組織単位 (OU) を検索し (例えば、AWS Managed Microsoft AD の作成 で説明されている手順に従っている場合、サブドメイン組織単位は
corpになります)、サブドメイン OU を右クリックします。[このドメインに GPO を作成してここにリンクする] を選択し、名前に PCA GPO を入力します。[OK] を選択してください。 -
新しく作成された GPO は、サブドメイン名の後に表示されます。
PCA GPOを右クリックして、[編集] を選択します。ダイアログボックスが開き、「これはリンクであり、変更は全体に適用されます」という警告メッセージが表示されたら、[OK] を選択してメッセージを了承して続行します。[グループポリシー管理エディター] が開きます。 -
[グループポリシー管理エディター] で、[コンピュータの設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] (フォルダを選択) に移動します。
-
[オブジェクトのタイプ] で [証明書サービスクライアント - 証明書登録ポリシー] を選択します。
-
[証明書サービスクライアント – 証明書登録ポリシー] ウィンドウで、[設定モデル] を [有効] に変更します。
-
[Active Directory 登録ポリシー] が オン で、[有効] になっていることを確認します。[Add] (追加) を選択します。
-
[証明書登録ポリシーサーバー] ダイアログボックスを開きます。コネクタを作成したときに生成された証明書登録ポリシーサーバーエンドポイントを [登録サーバーポリシー URI を入力] フィールドに入力します。[認証タイプ] は [Windows 統合] のままにします。
-
[検証] を選択します。検証が成功したら、[追加] を選択します。
-
[証明書サービスクライアント – 証明書登録ポリシー] に戻り、新しく作成したコネクタの横にあるダイアログボックスを選択して、コネクタをデフォルトの登録ポリシーにします。
-
[Active Directory 登録ポリシー] を選択し、[削除] を選択します。
-
確認ダイアログボックスで [はい] を選択して LDAP ベースの認証を削除します。
-
[証明書サービスクライアント] > [証明書登録ポリシー] ウィンドウで [適用] と [確認] を選択し、閉じます。次に、ウィンドウを閉じます。
-
[パブリックキーポリシー]フォルダーの[オブジェクトの種類]で「Certificate Services Client – 自動登録」を選択します。
-
[設定モデル] オプションを [有効] に変更します。
-
[期限切れの証明書を更新する] と [証明書を更新する] の両方が選択されていることを確認します。他の設定はそのままにします。
-
[適用]、[確認] の順に選択し、ダイアログボックスを閉じます。
次に、[ユーザー設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] セクションのステップ 6~17 を繰り返して、ユーザー設定のパブリックキーポリシーを設定します。
GPOs とパブリックキーポリシーの設定が完了すると、ドメイン内のオブジェクトは AWS Private CA Connector for AD から証明書をリクエストし、 によって発行された証明書を受け取ります AWS Private CA。
証明書 AWS Private CA の発行の確認
AWS Managed Microsoft AD の証明書を発行 AWS Private CA するために を更新するプロセスには、最大 8 時間かかる場合があります。
次のいずれかを試すことができます。
-
この期間を待つことができます。
-
から証明書を受信するように設定された AWS Managed Microsoft AD ドメイン参加マシンを再起動できます AWS Private CA。その後、 ドキュメントの手順に従って、 AWS Private CA が AWS Managed Microsoft AD ドメインのメンバーに証明書を発行したことを確認できますMicrosoft
。 -
次のPowerShellコマンドを使用して、 AWS Managed Microsoft AD の証明書を更新できます。
certutil -pulse
