Active Directory용 AWS Private CA 커넥터 시작하기 - AWS Private Certificate Authority
시작하기 전 준비 사항1단계: 커넥터 생성2단계: Microsoft Active Directory 정책 구성3단계: 템플릿 생성4단계: Microsoft 그룹 권한 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Active Directory용 AWS Private CA 커넥터 시작하기

Active Directory용 AWS Private CA 커넥터를 사용하면 인증 및 암호화를 위해 프라이빗 CA에서 Active Directory 객체로 인증서를 발급할 수 있습니다. 커넥터를 만들면 AWS Private Certificate Authority 가 디렉터리 객체가 인증서를 요청할 수 있도록 VPC에 엔드포인트를 생성합니다.

인증서를 발급하려면 커넥터와 커넥터용 AD 호환 템플릿을 만들어야 합니다. 템플릿을 생성하는 경우 AD 그룹에 대한 등록 권한을 설정할 수 있습니다.

시작하기 전 준비 사항

다음 자습서에서는 AD용 커넥터 및 커넥터 템플릿을 생성하는 프로세스를 안내합니다. 이 자습서를 따르려면 먼저 섹션에 나열된 사전 조건을 충족해야 합니다.

1단계: 커넥터 생성

커넥터를 생성하려면 섹션을 참조하세요Active Directory용 커넥터 생성.

2단계: Microsoft Active Directory 정책 구성

AD용 커넥터는 고객의 그룹 정책 객체(GPO) 구성을 보거나 관리할 수 없습니다. GPO는 AD 요청을 고객의 AWS Private CA 또는 다른 인증 또는 인증서 판매 서버로 라우팅하는 것을 제어합니다. 잘못된 GPO 구성으로 인해 요청이 잘못 라우팅될 수 있습니다. AD용 커넥터를 구성하고 테스트하는 것은 고객의 몫입니다.

그룹 정책은 커넥터와 연결되며 단일 AD에 대해 여러 커넥터를 생성하도록 선택할 수 있습니다. 그룹 정책 구성이 다른 경우 각 커넥터에 대한 액세스 제어를 관리하는 것은 사용자의 몫입니다.

데이터 플레인 호출의 보안은 Kerberos 및 VPC 구성에 따라 달라집니다. VPC에 대한 액세스 권한이 있는 사람은 누구나 해당 AD에 인증되어 있는 한 데이터 플레인 호출을 할 수 있습니다. 이는 AWSauth 경계 외부에 존재하며 권한 부여 및 인증 관리는 고객 여러분에게 달려 있습니다.

Active Directory에서 아래 단계에 따라 커넥터를 만들 때 생성된 URI를 가리키는 GPO를 만듭니다. 콘솔 또는 명령줄에서 AD용 커넥터를 사용하려면 이 단계가 필요합니다.

GPO를 구성합니다.

  1. DC에서 서버 관리자를 엽니다.

  2. 도구로 이동하여 콘솔 오른쪽 상단에 있는 그룹 정책 관리를 선택합니다.

  3. 포리스트 > 도메인으로 이동합니다. 도메인 이름을 선택하고 도메인을 마우스 오른쪽 버튼으로 클릭합니다. 이 도메인에서 GPO를 만들고 여기에 연결…을 선택한 다음 이름에 PCA GPO를 입력합니다.

  4. 이제 새로 만든 GPO가 도메인 이름 아래에 표시됩니다.

  5. PCA GPO를 선택하고 편집을 선택합니다. 이 링크이며 변경 내용이 전역으로 전파된다는 경고 메시지가 표시된 대화 상자가 열리면 계속하려면 메시지를 확인합니다. 그룹 정책 관리 편집기가 열려야 합니다.

  6. 그룹 정책 관리 편집기에서 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 공개 키 정책(폴더 선택)으로 이동합니다.

  7. 객체 유형으로 이동하여 인증서 서비스 클라이언트 - 인증서 등록 정책을 선택합니다.

  8. 옵션에서 구성 모델활성화로 변경합니다.

  9. Active Directory 등록 정책선택되어 있고 활성화되었는지 확인합니다. 추가를 선택합니다.

  10. 인증서 등록 정책 서버 창이 열려야 합니다.

  11. 등록 서버 정책 URI 입력 필드에 커넥터를 만들 때 생성된 인증서 등록 정책 서버 엔드포인트를 입력합니다.

  12. 인증 유형Windows 통합으로 그대로 둡니다.

  13. 검증을 선택합니다. 검증에 성공한 후 추가를 선택합니다. 대화 상자가 닫힙니다.

  14. 인증서 서비스 클라이언트 - 인증서 등록 정책으로 돌아가서 새로 만든 커넥터 옆의 확인란을 선택하여 커넥터가 기본 등록 정책인지 확인합니다.

  15. Active Directory 등록 정책을 선택하고 제거를 선택합니다.

  16. 확인 대화 상자에서 를 선택하여 LDAP 기반 인증을 삭제합니다.

  17. 인증서 서비스 클라이언트 > 인증서 등록 정책 창에서 적용확인을 선택하고 창을 닫습니다.

  18. 공개 키 정책 폴더로 이동하여 인증서 서비스 클라이언트 - 자동 등록을 선택합니다.

  19. 구성 모델 옵션을 활성화로 변경합니다.

  20. 만료된 인증서 갱신인증서 업데이트가 모두 선택되어 있는지 확인합니다. 다른 설정은 현재 값 그대로 둡니다.

  21. 적용을 선택한 다음 확인을 선택하고 대화 상자를 닫습니다.

다음으로 사용자 구성을 위한 퍼블릭 키 정책을 구성합니다. 사용자 구성 > 정책 > Windows 설정 > 보안 설정 > 퍼블릭 키 정책으로 이동합니다. 6단계부터 21단계까지 설명된 절차에 따라 사용자 구성을 위한 공개 키 정책을 구성합니다.

GPOs 및 퍼블릭 키 정책 구성을 완료하면 도메인의 객체가 AD용 AWS Private CA 커넥터에서 인증서를 요청하고에서 발급한 인증서를 가져옵니다 AWS Private CA.

3단계: 템플릿 생성

템플릿을 생성하려면 섹션을 참조하세요커넥터 템플릿 생성.

4단계: Microsoft 그룹 권한 구성

Microsoft 그룹 권한을 구성하려면 섹션을 참조하세요AD 템플릿용 커넥터 액세스 제어 항목 관리.