AWS 관리형 Microsoft AD용 AD용 AWS Private CA 커넥터 설정 - AWS Directory Service
AD용 AWS Private CA 커넥터 설정AD용 AWS Private CA 커넥터 보기AD 정책 구성인증서 AWS Private CA 발급 확인

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 관리형 Microsoft AD용 AD용 AWS Private CA 커넥터 설정

AWS Managed Microsoft AD를 AWS Private Certificate Authority (CA)와 통합하여 Active Directory 도메인 컨트롤러, 도메인 조인 사용자, 그룹 및 시스템에 대한 인증서를 발급하고 관리할 수 있습니다.Active Directory용 AWS Private CA 커넥터를 사용하면 로컬 에이전트 또는 프록시 서버를 배포, 패치 또는 업데이트할 필요 없이 자체 관리형 엔터프라이즈 CAs에 대해 완전 관리형 AWS Private CA 드롭인 대체 기능을 사용할 수 있습니다.

Directory Service 콘솔, Active Directory용 커넥터 콘솔 또는 CreateTemplate API를 AWS Private CA 호출하여 디렉터리와의 AWS Private CA 통합을 설정할 수 있습니다. Active Directory용 AWS Private CA 커넥터 콘솔을 통해 프라이빗 CA 통합을 설정하려면 커넥터 템플릿 생성을 참조하세요. Directory Service 콘솔에서이 통합을 설정하는 방법은 다음 단계를 참조하세요.

AD용 AWS Private CA 커넥터 설정

Active Directory용 프라이빗 CA 커넥터를 생성하는 방법

  1. 에 로그인 AWS Management Console 하고에서 Directory Service 콘솔을 엽니다https://console.aws.amazon.com/directoryservicev2/.

  2. [Directories] 페이지에서 디렉터리 ID를 선택합니다.

  3. 애플리케이션 관리 탭과 AWS 앱 및 서비스 섹션에서 AD용AWS Private CA 커넥터를 선택합니다.

  4. Active Directory용 프라이빗 CA 인증서 생성 페이지에서 Active Directory Connector용 프라이빗 CA 생성 단계를 완료합니다.

자세한 내용은 커넥터 생성을 참조하세요.

AD용 AWS Private CA 커넥터 보기

프라이빗 CA 커넥터 세부 정보를 보는 방법

  1. 에 로그인 AWS Management Console 하고에서 Directory Service 콘솔을 엽니다https://console.aws.amazon.com/directoryservicev2/.

  2. [Directories] 페이지에서 디렉터리 ID를 선택합니다.

  3. 애플리케이션 관리 탭과 AWS 앱 및 서비스 섹션에서 프라이빗 CA 커넥터 및 연결된 프라이빗 CA를 확인합니다. 다음 필드가 표시됩니다.

    1. AWS Private CA 커넥터 ID - AWS Private CA 커넥터의 고유 식별자입니다. 세부 정보 페이지를 보려면 선택합니다.

    2. AWS Private CA 제목 - CA의 고유 이름에 대한 정보입니다. 세부 정보 페이지를 보려면 선택합니다.

    3. 상태 - AWS Private CA 커넥터 및 AWS Private CA에 대한 상태 확인 결과:

      • 활성 - 두 검사 모두 통과

      • 1/2 검사 실패 - 하나의 검사 실패

      • 실패 - 두 검사 모두 실패

      실패 상태의 세부 정보를 보려면 하이퍼링크에 마우스를 대고 실패한 검사를 확인합니다.

    4. DC 인증서 등록 상태 - 도메인 컨트롤러 인증서 상태 검사:

      • 활성화됨 - 인증서 등록이 활성화됨

      • 비활성화됨 - 인증서 등록이 비활성화됨

    5. 생성 날짜 - AWS Private CA 커넥터가 생성된 시간입니다.

자세한 내용은 커넥터 세부 정보 보기를 참조하세요.

다음 표에는를 사용한 AWS 관리형 Microsoft AD의 도메인 컨트롤러 인증서 등록에 대한 다양한 상태가 나와 있습니다 AWS Private CA.

DC 등록 상태 설명 필요한 작업

활성화됨

도메인 컨트롤러 인증서가 디렉터리에 성공적으로 등록되었습니다.

작업이 필요하지 않습니다.

실패

디렉터리에 대한 도메인 컨트롤러 인증서 등록 활성화 또는 비활성화에 실패했습니다.

활성화 작업에 실패하면 도메인 컨트롤러 인증서를 껐다가 켠 다음 재시도하세요. 비활성화 작업에 실패하면 도메인 컨트롤러 인증서를 켰다가 끈 다음 재시도하세요. 재시도에 실패하면 AWS Support에 문의하세요.

[Impaired]

도메인 컨트롤러에 AWS Private CA 엔드포인트와 통신하는 네트워크 연결 문제가 있습니다.

디렉터리와의 네트워크 연결을 허용하려면 AWS Private CA VPC 엔드포인트 및 S3 버킷 정책을 확인합니다. 자세한 내용은 AWS 프라이빗 인증 기관 예외 메시지 문제 해결AWS Private CA 인증서 해지 문제 해결을 참조하세요.

비활성화됨

디렉터리에 대한 도메인 컨트롤러 인증서 등록이 성공적으로 해제되었습니다.

작업이 필요하지 않습니다.

비활성화

도메인 컨트롤러 인증서 등록 비활성화가 진행 중입니다.

작업이 필요하지 않습니다.

활성화

도메인 컨트롤러 인증서 등록 활성화가 진행 중입니다.

작업이 필요하지 않습니다.

AD 정책 구성

AWS Private CA AWS 관리형 Microsoft AD 도메인 컨트롤러 및 객체가 인증서를 요청하고 수신할 수 있도록 AD용 커넥터를 구성해야 합니다. 가 AWS 관리형 Microsoft AD 객체에 인증서를 발급할 AWS Private CA 수 있도록 그룹 정책 객체(GPO)를 구성합니다.

도메인 컨트롤러에 대한 Active Directory 정책 구성

도메인 컨트롤러에 대한 Active Directory 정책 켜기

  1. 네트워크 및 보안 탭을 엽니다.

  2. AWS Private CA 커넥터를 선택합니다.

  3. 디렉터리에 도메인 컨트롤러 인증서를 발급하는 AWS Private CA 제목에 연결된 커넥터를 선택합니다.

  4. 작업, 도메인 컨트롤러 인증서 활성화를 선택합니다.

중요

업데이트 지연을 방지하기 위해 도메인 컨트롤러 인증서를 켜기 전에 유효한 도메인 컨트롤러 템플릿을 구성합니다.

도메인 컨트롤러 인증서 등록을 켜면 디렉터리의 도메인 컨트롤러가 AD용 AWS Private CA 커넥터에서 인증서를 요청하고 수신합니다.

도메인 컨트롤러 인증서 발급 AWS Private CA 을 변경하려면 먼저 AD용 새 AWS Private CA 커넥터를 사용하여 새를 AWS Private CA 디렉터리에 연결합니다. 새에서 인증서 등록을 켜기 전에 기존 인증서 등록을 끕 AWS Private CA니다.

도메인 컨트롤러 인증서 끄기

  1. 네트워크 및 보안 탭을 엽니다.

  2. AWS Private CA 커넥터를 선택합니다.

  3. 디렉터리에 도메인 컨트롤러 인증서를 발급하는 AWS Private CA 제목에 연결된 커넥터를 선택합니다.

  4. 작업, 도메인 컨트롤러 인증서 비활성화를 선택합니다.

도메인에 조인된 사용자, 컴퓨터, 시스템에 대한 Active Directory 정책 구성

그룹 정책 객체 구성

  1. AWS 관리형 Microsoft AD 관리자 인스턴스에 연결하고 시작 메뉴에서 서버 관리자를 엽니다.

  2. 도구에서 그룹 정책 관리를 선택합니다.

  3. 포리스트 및 도메인에서 하위 도메인 조직 단위(OU)(예: AWS 관리형 Microsoft AD 생성에 설명된 절차를 따른 경우 하위 도메인 조직 단위는 corp입니다)를 찾아 하위 도메인 OU를 마우스 오른쪽 버튼으로 클릭합니다. 이 도메인에서 GPO를 생성하고 여기에 연결을 선택한 다음 이름에 PCA GPO를 입력합니다. 확인을 선택합니다.

  4. 새로 생성된 GPO는 하위 도메인 이름 뒤에 표시됩니다. PCA GPO를 마우스 오른쪽 버튼으로 클릭하고 편집을 선택합니다. 이것은 링크이며 변경 내용이 전역으로 전파됩니다라는 경고 메시지가 표시된 대화 상자가 열리면 계속 진행하기 위해 확인을 선택하여 메시지를 승인합니다. 그룹 정책 관리 편집기 창이 열립니다.

  5. 그룹 정책 관리 편집기 창에서 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 공개 키 정책(폴더 선택)으로 이동합니다.

  6. 개체 유형에서 인증서 서비스 클라이언트 - 인증서 등록 정책을 선택합니다.

  7. 인증서 서비스 클라이언트 - 인증서 등록 정책 창에서 구성 모델활성화로 변경합니다.

  8. Active Directory 등록 정책이 선택되고 활성화되어 있는지 확인합니다. 추가를 선택합니다.

  9. 인증서 등록 정책 서버 대화 상자가 열립니다. 등록 서버 정책 URI 입력 필드에 커넥터를 만들 때 생성했던 인증서 등록 정책 서버 엔드포인트를 입력합니다. 인증 유형Windows 통합으로 그대로 둡니다.

  10. 검증을 선택합니다. 검증에 성공한 후 추가를 선택합니다.

  11. 인증서 서비스 클라이언트 - 인증서 등록 정책 대화 상자로 돌아가서 새로 생성한 커넥터 옆의 확인란을 선택하여 커넥터가 기본 등록 정책인지 확인합니다.

  12. Active Directory 등록 정책을 선택하고 제거를 선택합니다.

  13. 확인 대화 상자에서 를 선택하여 LDAP 기반 인증을 삭제합니다.

  14. 인증서 서비스 클라이언트 - 인증서 등록 정책 창에서 적용확인을 선택합니다. 그런 다음 창을 닫습니다.

  15. 개체 유형에서 공개 키 정책 폴더의 인증서 서비스 클라이언트 - 자동 등록을 선택합니다.

  16. 구성 모델 옵션을 활성화로 변경합니다.

  17. 만료된 인증서 갱신인증서 업데이트 옵션이 모두 선택되어 있는지 확인합니다. 다른 설정은 현재 값 그대로 둡니다.

  18. 적용을 선택한 다음 확인을 선택하고 대화 상자를 닫습니다.

그런 다음 사용자 구성 > 정책 > Windows 설정 > 보안 설정 > 퍼블릭 키 정책 섹션에서 6~17단계를 반복하여 사용자 구성에 대한 퍼블릭 키 정책을 구성합니다.

GPOs 및 퍼블릭 키 정책 구성을 완료한 후 도메인의 객체는 AD용 AWS Private CA 커넥터에서 인증서를 요청하고에서 발급한 인증서를 수신합니다 AWS Private CA.

인증서 AWS Private CA 발급 확인

AWS 관리형 Microsoft AD에 대한 인증서를 발급 AWS Private CA 하도록 업데이트하는 프로세스는 최대 8시간이 걸릴 수 있습니다.

다음 중 하나를 수행할 수 있습니다.

  • 이 기간을 기다릴 수 있습니다.

  • 에서 인증서를 수신하도록 구성된 AWS 관리형 Microsoft AD 도메인 조인 시스템을 다시 시작할 수 있습니다 AWS Private CA. 그런 다음 Microsoft 설명서의 절차에 따라가 AWS 관리형 Microsoft AD 도메인의 멤버에게 인증서를 발급 AWS Private CA 했는지 확인할 수 있습니다.

  • 다음 PowerShell 명령을 사용하여 AWS 관리형 Microsoft AD의 인증서를 업데이트할 수 있습니다.

    certutil -pulse