AWS 관리형 Microsoft AD를 위한 AD용 AWS Private CA 커넥터 설정 - AWS Directory Service
AD용 AWS Private CA 커넥터 설정AD용 AWS Private CA 커넥터 보기AD 정책 구성인증서 AWS Private CA 발급 확인

AWS 관리형 Microsoft AD를 위한 AD용 AWS Private CA 커넥터 설정

AWS Managed Microsoft AD를 CA(AWS Private Certificate Authority)와 통합하여 Active Directory 도메인 컨트롤러, 도메인에 조인된 사용자, 그룹, 시스템에 대한 인증서를 발급하고 관리할 수 있습니다. AWS Private CA AD용 커넥터를 사용하면 로컬 에이전트 또는 프록시 서버를 배포, 패치, 업데이트할 필요 없이 자체 관리형 엔터프라이즈 CA에 대한 완전 관리형 AWS Private CA 드롭인 대체 기능을 사용할 수 있습니다.

Directory Service 콘솔, Active Directory용 AWS Private CA 커넥터 콘솔, CreateTemplate API 호출을 통해 디렉터리와 AWS Private CA 통합을 설정할 수 있습니다. Active Directory용 AWS Private CA 커넥터 콘솔을 통해 프라이빗 CA 통합을 설정하려면 커넥터 템플릿 생성을 참조하세요. Directory Service 콘솔에서 이 통합을 설정하는 방법에 대한 단계는 다음을 참조하세요.

AD용 AWS Private CA 커넥터 설정

Active Directory용 프라이빗 CA 커넥터를 생성하는 방법

  1. AWS Management 콘솔에 로그인한 다음, https://console.aws.amazon.com/directoryservicev2/에서 Directory Service 콘솔을 엽니다.

  2. [Directories] 페이지에서 디렉터리 ID를 선택합니다.

  3. 애플리케이션 관리 탭과 AWS 앱 및 서비스 섹션에서 AD용 AWS Private CA 커넥터를 선택합니다.

  4. Active Directory용 프라이빗 CA 인증서 생성 페이지에서 Active Directory Connector용 프라이빗 CA 생성 단계를 완료합니다.

자세한 내용은 커넥터 생성을 참조하세요.

AD용 AWS Private CA 커넥터 보기

프라이빗 CA 커넥터 세부 정보를 보는 방법

  1. AWS Management 콘솔에 로그인한 다음, https://console.aws.amazon.com/directoryservicev2/에서 Directory Service 콘솔을 엽니다.

  2. [Directories] 페이지에서 디렉터리 ID를 선택합니다.

  3. 애플리케이션 관리 탭과 AWS 앱 및 서비스 섹션에서 프라이빗 CA 커넥터 및 연결된 프라이빗 CA를 확인합니다. 다음 필드가 표시됩니다.

    1. AWS Private CA커넥터 ID - AWS Private CA 커넥터의 고유 식별자. 세부 정보 페이지를 보려면 선택합니다.

    2. AWS Private CA 주체 - CA의 고유 이름에 대한 정보. 세부 정보 페이지를 보려면 선택합니다.

    3. 상태 - AWS Private CA 커넥터 및 AWS Private CA에 대한 상태 검사 결과:

      • 활성 - 두 검사 모두 통과

      • 1/2 검사 실패 - 하나의 검사 실패

      • 실패 - 두 검사 모두 실패

      실패 상태의 세부 정보를 보려면 하이퍼링크 위로 마우스를 가져가서 실패한 검사를 확인합니다.

    4. DC 인증서 등록 상태 - 도메인 컨트롤러 인증서 상태 검사:

      • 활성화됨 - 인증서 등록이 활성화됨

      • 비활성화됨 - 인증서 등록이 비활성화됨

    5. 생성 날짜 - AWS Private CA 커넥터가 생성된 날짜.

자세한 내용은 커넥터 세부 정보 보기를 참조하세요.

다음 표에는 AWS Private CA를 사용한 AWS Managed Microsoft AD의 도메인 컨트롤러 인증서 등록에 대한 다양한 상태가 표시되어 있습니다.

DC 등록 상태 설명 필요한 작업

활성화됨

도메인 컨트롤러 인증서가 디렉터리에 성공적으로 등록되었습니다.

작업이 필요하지 않습니다.

Failed

디렉터리에 대한 도메인 컨트롤러 인증서 등록 활성화 또는 비활성화에 실패했습니다.

활성화 작업에 실패하면 도메인 컨트롤러 인증서를 껐다가 켠 다음 재시도하세요. 비활성화 작업에 실패하면 도메인 컨트롤러 인증서를 켰다가 끈 다음 재시도하세요. 재시도에 실패하면 AWS Support에 문의하세요.

[Impaired]

도메인 컨트롤러에 AWS Private CA 엔드포인트와 통신할 때 네트워크 연결 문제가 발생합니다.

디렉터리와 네트워크 연결을 허용하려면 AWS Private CA VPC 엔드포인트 및 S3 버킷 정책을 확인합니다. 자세한 내용은 AWS 프라이빗 인증 기관 예외 메시지 문제 해결AWS Private CA 인증서 해지 문제 해결을 참조하세요.

비활성

디렉터리에 대한 도메인 컨트롤러 인증서 등록이 성공적으로 해제되었습니다.

작업이 필요하지 않습니다.

비활성화

도메인 컨트롤러 인증서 등록 비활성화가 진행 중입니다.

작업이 필요하지 않습니다.

활성화

도메인 컨트롤러 인증서 등록 활성화가 진행 중입니다.

작업이 필요하지 않습니다.

AD 정책 구성

AWS Managed Microsoft AD 도메인 컨트롤러 및 객체가 인증서를 요청하고 수신하도록 AD용 AWS Private CA 커넥터를 구성해야 합니다. 그룹 정책 객체(GPO)를 구성하여 AWS Private CA가 AWS Managed Microsoft AD 객체에 인증서를 발급하도록 합니다.

도메인 컨트롤러에 대한 Active Directory 정책 구성

도메인 컨트롤러에 대한 Active Directory 정책 켜기

  1. 네트워크 및 보안 탭을 엽니다.

  2. AWS Private CA 커넥터를 선택합니다.

  3. 디렉터리에 도메인 컨트롤러 인증서를 발급하는 AWS Private CA 주체와 연결된 커넥터를 선택합니다.

  4. 작업, 도메인 컨트롤러 인증서 활성화를 선택합니다.

중요

업데이트 지연을 방지하기 위해 도메인 컨트롤러 인증서를 켜기 전에 유효한 도메인 컨트롤러 템플릿을 구성합니다.

도메인 컨트롤러 인증서 등록을 켜면 디렉터리의 도메인 컨트롤러가 AD용 AWS Private CA 커넥터에서 인증서를 요청하고 수신합니다.

도메인 컨트롤러 인증서에 대한 발급 AWS Private CA를 변경하려면 먼저 새 AD용 새 AWS Private CA 커넥터를 사용하여 새 AWS Private CA를 디렉터리에 연결합니다. 새 AWS Private CA에서 인증서 등록을 켜기 전에 기존 PCA에서 인증서 등록을 끕니다.

도메인 컨트롤러 인증서 끄기

  1. 네트워크 및 보안 탭을 엽니다.

  2. AWS Private CA 커넥터를 선택합니다.

  3. 디렉터리에 도메인 컨트롤러 인증서를 발급하는 AWS Private CA 주체와 연결된 커넥터를 선택합니다.

  4. 작업, 도메인 컨트롤러 인증서 비활성화를 선택합니다.

도메인에 조인된 사용자, 컴퓨터, 시스템에 대한 Active Directory 정책 구성

그룹 정책 객체 구성

  1. AWS Managed Microsoft AD 관리자 인스턴스에 연결하고 시작 메뉴에서 서버 관리자를 엽니다.

  2. 도구에서 그룹 정책 관리를 선택합니다.

  3. 포리스트 및 도메인에서 하위 도메인 조직 단위(OU)(예: AWS 관리형 Microsoft AD 생성에 설명된 절차를 따른 경우 하위 도메인 조직 단위는 corp입니다)를 찾아 하위 도메인 OU를 마우스 오른쪽 버튼으로 클릭합니다. 이 도메인에서 GPO를 생성하고 여기에 연결을 선택한 다음 이름에 PCA GPO를 입력합니다. 확인을 선택합니다.

  4. 새로 생성된 GPO는 하위 도메인 이름 뒤에 표시됩니다. PCA GPO를 마우스 오른쪽 버튼으로 클릭하고 편집을 선택합니다. 이것은 링크이며 변경 내용이 전역으로 전파됩니다라는 경고 메시지가 표시된 대화 상자가 열리면 계속 진행하기 위해 확인을 선택하여 메시지를 승인합니다. 그룹 정책 관리 편집기 창이 열립니다.

  5. 그룹 정책 관리 편집기 창에서 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 공개 키 정책(폴더 선택)으로 이동합니다.

  6. 개체 유형에서 인증서 서비스 클라이언트 - 인증서 등록 정책을 선택합니다.

  7. 인증서 서비스 클라이언트 - 인증서 등록 정책 창에서 구성 모델활성화로 변경합니다.

  8. Active Directory 등록 정책이 선택되고 활성화되어 있는지 확인합니다. 추가를 선택합니다.

  9. 인증서 등록 정책 서버 대화 상자가 열립니다. 등록 서버 정책 URI 입력 필드에 커넥터를 만들 때 생성했던 인증서 등록 정책 서버 엔드포인트를 입력합니다. 인증 유형Windows 통합으로 그대로 둡니다.

  10. 검증을 선택합니다. 검증에 성공한 후 추가를 선택합니다.

  11. 인증서 서비스 클라이언트 - 인증서 등록 정책 대화 상자로 돌아가서 새로 생성한 커넥터 옆의 확인란을 선택하여 커넥터가 기본 등록 정책인지 확인합니다.

  12. Active Directory 등록 정책을 선택하고 제거를 선택합니다.

  13. 확인 대화 상자에서 를 선택하여 LDAP 기반 인증을 삭제합니다.

  14. 인증서 서비스 클라이언트 - 인증서 등록 정책 창에서 적용확인을 선택합니다. 그런 다음 창을 닫습니다.

  15. 개체 유형에서 공개 키 정책 폴더의 인증서 서비스 클라이언트 - 자동 등록을 선택합니다.

  16. 구성 모델 옵션을 활성화로 변경합니다.

  17. 만료된 인증서 갱신인증서 업데이트 옵션이 모두 선택되어 있는지 확인합니다. 다른 설정은 현재 값 그대로 둡니다.

  18. 적용을 선택한 다음 확인을 선택하고 대화 상자를 닫습니다.

그런 다음 사용자 구성 > 정책 > Windows 설정 > 보안 설정 > 퍼블릭 키 정책 섹션에서 6~17단계를 반복하여 사용자 구성에 대한 퍼블릭 키 정책을 구성합니다.

GPO 및 공개 키 정책 구성을 마치면 도메인의 객체가 AD용 AWS Private CA 커넥터에 인증서를 요청하고 AWS Private CA에서 발급한 인증서를 수신합니다.

인증서 AWS Private CA 발급 확인

AWS 관리형 Microsoft AD에 대한 인증서를 발급하도록 AWS Private CA을 업데이트하는 프로세스는 최대 8시간이 걸릴 수 있습니다.

다음 중 하나를 수행할 수 있습니다.

  • 이 기간을 기다릴 수 있습니다.

  • AWS Private CA에서 인증서를 수신하도록 구성된 AWS 관리형 Microsoft AD 도메인 조인된 시스템을 다시 시작할 수 있습니다. 그런 다음 Microsoft 설명서의 절차에 따라 AWS Private CA가 AWS 관리형 Microsoft AD 도메인의 멤버에게 인증서를 발급했는지 확인할 수 있습니다.

  • 다음 PowerShell 명령을 사용하여 AWS 관리형 Microsoft AD의 인증서를 업데이트할 수 있습니다.

    certutil -pulse