Configurar o CA Privada da AWS conector para AD para Microsoft AD AWS gerenciado - AWS Directory Service
Configurando o CA Privada da AWS conector para ADCA Privada da AWS Conector de visualização para ADConfiguração de políticas do ADConfirmando a CA Privada da AWS emissão de um certificado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o CA Privada da AWS conector para AD para Microsoft AD AWS gerenciado

Você pode integrar seu Microsoft AD AWS gerenciado com Autoridade de Certificação Privada da AWS (CA) para emitir e gerenciar certificados para seus controladores de domínio do Active Directory, usuários associados ao domínio, grupos e máquinas. CA Privada da AWS O Connector for Active Directory permite que você use um substituto totalmente gerenciado CA Privada da AWS para sua empresa autogerenciada CAs sem a necessidade de implantar, corrigir ou atualizar agentes locais ou servidores proxy.

Você pode configurar a CA Privada da AWS integração com seu diretório por meio do Directory Service console, do console do CA Privada da AWS Connector for Active Directory ou chamando a CreateTemplateAPI. Para configurar a integração da CA privada por meio do console do CA Privada da AWS Connector for Active Directory, consulte Criação de um modelo de conector. Veja as etapas a seguir sobre como configurar essa integração a partir do Directory Service console.

Configurando o CA Privada da AWS conector para AD

Para criar um conector do Private CA para o Active Directory

  1. Faça login no Console de gerenciamento da AWS e abra o Directory Service console emhttps://console.aws.amazon.com/directoryservicev2/.

  2. Na página Directories (Diretórios), escolha o ID do diretório.

  3. Na guia Gerenciamento de aplicações e na seção Aplicativos e serviços da AWS , escolha CA Privada da AWS Conector para AD.

  4. Na página Criar um certificado de CA privada para o Active Directory, conclua as etapas para criar a CA privada para o Active Directory Connector.

Para obter mais informações, consulte Criar um conector.

CA Privada da AWS Conector de visualização para AD

Para visualizar os detalhes do conector do Private CA

  1. Faça login no Console de gerenciamento da AWS e abra o Directory Service console emhttps://console.aws.amazon.com/directoryservicev2/.

  2. Na página Directories (Diretórios), escolha o ID do diretório.

  3. Na guia Gerenciamento de aplicações e na seção Aplicativos e serviços da AWS , visualize os conectores do Private CA e o Private CA associado. Os seguintes campos são exibidos:

    1. CA Privada da AWS ID do conector — O identificador exclusivo de um CA Privada da AWS conector. Selecione-o para visualizar a página de detalhes.

    2. CA Privada da AWS assunto — Informações sobre o nome distinto da CA. Selecione-o para visualizar a página de detalhes.

    3. Status — Resultados da verificação de status do CA Privada da AWS conector e CA Privada da AWS:

      • Ativo — Ambas as verificações foram aprovadas

      • 1/2 verificação falhou — Uma verificação falhou

      • Falhou — Ambas as verificações falharam

      Para obter mais informações sobre um status de falha, passe o mouse sobre o hiperlink para saber qual verificação falhou.

    4. Status de inscrição de certificados DC — Verificação do status do certificado do controlador de domínio:

      • Habilitado — A inscrição do certificado está habilitada

      • Desabilitado — A inscrição do certificado está desabilitada

    5. Data de criação — Quando o CA Privada da AWS conector foi criado.

Para obter mais informações, consulte Visualizar detalhes do conector.

A tabela a seguir mostra os diferentes status da inscrição do certificado de controlador de domínio para o Managed AWS Microsoft AD with. CA Privada da AWS

Status da inscrição DC Description Ação necessária

Habilitado

Os certificados do controlador de domínio foram registrados com sucesso no diretório.

Nenhuma ação necessária.

Failed

Falha ao habilitar ou desabilitar o registro do certificado do controlador de domínio no diretório.

Se a ação de habilitação falhar, tente novamente desabilitando os certificados do controlador de domínio e ligando-os novamente. Se a ação de desativação falhar, tente novamente ativando os certificados do controlador de domínio e depois desativando novamente. Se a nova tentativa falhar, entre em contato com o Suporte AWS .

Impaired (Degradado)

Os controladores de domínio têm problemas de conectividade de rede na comunicação com CA Privada da AWS os endpoints.

Verifique as políticas do CA Privada da AWS VPC endpoint e do bucket S3 para permitir a conectividade de rede com seu diretório. Para obter mais informações, consulte Solucionar mensagens de exceção da Autoridade de Certificação AWS Privada e Solucionar problemas de revogação de CA Privada da AWS certificados.

Desabilitado

O registro do certificado do controlador de domínio foi desativado com sucesso no diretório.

Nenhuma ação necessária.

Desabilitando

A desabilitação da inscrição do certificado do controlador de domínio está em andamento.

Nenhuma ação necessária.

Habilitando

A habilitação da inscrição do certificado do controlador de domínio está em andamento.

Nenhuma ação necessária.

Configuração de políticas do AD

CA Privada da AWS O conector para AD deve ser configurado para que os controladores de domínio e objetos AWS gerenciados do Microsoft AD possam solicitar e receber certificados. Configure seu objeto de política de grupo (GPO) para CA Privada da AWS poder emitir certificados para objetos AWS gerenciados do Microsoft AD.

Como configurar políticas do Active Directory para controladores de domínio

Ativar políticas do Active Directory para controladores de domínio

  1. Abra a guia Rede e segurança.

  2. Escolha CA Privada da AWS Connectors.

  3. Escolha um conector vinculado ao CA Privada da AWS assunto que emite certificados de controlador de domínio para seu diretório.

  4. Escolha Ações, Ativar certificados de controlador de domínio.

Importante

Configure um modelo de controlador de domínio válido antes de ativar os certificados do controlador de domínio para evitar atrasos nas atualizações.

Depois de ativar a inscrição do certificado do controlador de domínio, os controladores de domínio do diretório solicitam e recebem certificados do CA Privada da AWS Connector para AD.

Para alterar sua emissão de CA Privada da AWS certificados de controlador de domínio, primeiro conecte o novo CA Privada da AWS ao seu diretório usando um novo CA Privada da AWS conector para AD. Antes de ativar o registro do certificado no novo CA Privada da AWS, desative o registro do certificado no existente:

Desativar certificados de controlador de domínio

  1. Abra a guia Rede e segurança.

  2. Escolha CA Privada da AWS Connectors.

  3. Escolha um conector vinculado ao CA Privada da AWS assunto que emite certificados de controlador de domínio para seu diretório.

  4. Escolha Ações, Desativar certificados de controlador de domínio.

Como configurar políticas do Active Directory para usuários, computadores e máquinas associados ao domínio

Configurar objetos de política de grupo

  1. Conecte-se à instância administrativa AWS gerenciada do Microsoft AD e abra o Gerenciador do Servidor no menu Iniciar.

  2. Em Ferramentas, escolha Gerenciamento de política de grupo.

  3. Em Floresta e domínios, encontre a unidade organizacional (UO) de subdomínio (por exemplo, corp é a unidade organizacional de subdomínio se você seguiu os procedimentos descritos em Criando seu Microsoft AD AWS gerenciado) e clique com o botão direito na UO do subdomínio. Escolha Criar um GPO neste domínio e vinculá-lo aqui e insira PCA GPO no nome. Escolha OK.

  4. O GPO recém-criado é exibido após o nome do subdomínio. Clique com o botão direito em PCA GPO e escolha Editar. Se uma caixa de diálogo for aberta com a mensagem de alerta Este é um link e as alterações serão propagadas globalmente, confirme a mensagem escolhendo OK para continuar. A janela Editor de gerenciamento de políticas de grupo é aberta.

  5. Na janela Editor de gerenciamento de políticas de grupo, acesse Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Políticas de chave pública (escolha a pasta).

  6. Em Tipo de objeto, escolha Cliente de serviços de certificado: política de inscrição de certificado.

  7. Na janela Cliente de serviços de certificados: política de registro de certificados, altere o Modelo de configuração para Habilitado.

  8. Confirme se a Política de inscrição do Active Directory está selecionada e Habilitada. Escolha Adicionar.

  9. A caixa de diálogo Servidor de políticas de inscrição de certificado é aberta. Insira o endpoint do servidor de política de inscrição de certificados que você gerou ao criar o conector no campo Inserir URI da política do servidor de inscrição. Deixe Tipo de autenticação como Windows integrado.

  10. Escolha Validar. Depois que a validação for bem-sucedida, escolha Adicionar.

  11. Volte para a caixa de diálogo Cliente de serviços de certificado: política de inscrição de certificado e selecione a caixa ao lado do conector recém-criado para garantir que ele seja a política de inscrição padrão.

  12. Escolha Política de inscrição do Active Directory e escolha Remover.

  13. Na caixa de diálogo de confirmação, escolha Sim para excluir a autenticação baseada em LDAP.

  14. Escolha Aplicar e OK na janela Cliente de serviços de certificados: política de inscrição de certificado. Em seguida, feche a janela.

  15. Em Tipo de objeto na pasta Políticas de chave pública, escolha Cliente de serviços de certificados: registro automático.

  16. Altere a opção Modelo de configuração para Habilitado.

  17. Confirme se as opções Renovar certificados expirados e Atualizar certificados estão selecionadas. Deixe as outras configurações como estão.

  18. Escolha Aplicar e depois OK e feche a caixa de diálogo.

Em seguida, configure as Políticas de chave pública para configuração de usuários repetindo as etapas 6 a 17 na seção Configuração do usuário > Políticas > Configurações do Windows > Configurações de segurança > Políticas de chave pública.

Depois de concluir a configuração GPOs e as políticas de chave pública, os objetos no domínio solicitam certificados do CA Privada da AWS Connector for AD e recebem certificados emitidos por CA Privada da AWS.

Confirmando a CA Privada da AWS emissão de um certificado

O processo de atualização CA Privada da AWS para emitir certificados para seu Microsoft AD AWS gerenciado pode levar até 8 horas.

Você pode executar uma das seguintes ações:

  • Você pode aguardar esse período.

  • Você pode reiniciar as máquinas associadas ao domínio AWS Managed Microsoft AD que foram configuradas para receber certificados do CA Privada da AWS. Em seguida, você pode confirmar CA Privada da AWS que os certificados foram emitidos para membros do seu domínio AWS gerenciado do Microsoft AD seguindo o procedimento na Microsoftdocumentação.

  • Você pode usar o PowerShell comando a seguir para atualizar os certificados do seu Microsoft AD AWS gerenciado:

    certutil -pulse