Configuração do CA Privada da AWS Connector para AD no AWS Managed Microsoft AD - AWS Directory Service
Configuração do CA Privada da AWS Connector para ADExibição do CA Privada da AWS Connector para ADConfiguração de políticas do ADConfirmação de que o CA Privada da AWS emitiu um certificado

Configuração do CA Privada da AWS Connector para AD no AWS Managed Microsoft AD

Você pode integrar o AWS Managed Microsoft AD ao Autoridade de Certificação Privada da AWS (CA) para emitir e gerenciar certificados para controladores de domínio do Active Directory, usuários, grupos e máquinas associados ao domínio. CA Privada da AWS O Connector for Active Directory permite que você use um substituto direto totalmente gerenciado do CA Privada da AWS para as CAs corporativas autogerenciadas sem a necessidade de implantar, corrigir ou atualizar agentes locais ou servidores de proxy.

Você pode configurar a integração do CA Privada da AWS ao diretório por meio do console Directory Service, do console do CA Privada da AWS Connector for Active Directory ou chamando a API CreateTemplate. Para configurar a integração da CA privada por meio do CA Privada da AWS Connector para o console do Active Directory, consulte Como criar um modelo de conector. Confira as etapas a seguir sobre como configurar essa integração usando o console do Directory Service.

Configuração do CA Privada da AWS Connector para AD

Para criar um conector do Private CA para o Active Directory

  1. Faça login no Console de gerenciamento da AWS e abra o console do Directory Service em https://console.aws.amazon.com/directoryservicev2/.

  2. Na página Directories (Diretórios), escolha o ID do diretório.

  3. Na guia Gerenciamento de aplicações e na seção Aplicativos e serviços da AWS, escolha CA Privada da AWS Conector para AD.

  4. Na página Criar um certificado de CA privada para o Active Directory, conclua as etapas para criar a CA privada para o Active Directory Connector.

Para obter mais informações, consulte Criar um conector.

Exibição do CA Privada da AWS Connector para AD

Para visualizar os detalhes do conector do Private CA

  1. Faça login no Console de gerenciamento da AWS e abra o console do Directory Service em https://console.aws.amazon.com/directoryservicev2/.

  2. Na página Directories (Diretórios), escolha o ID do diretório.

  3. Na guia Gerenciamento de aplicações e na seção Aplicativos e serviços da AWS, visualize os conectores do Private CA e o Private CA associado. Os seguintes campos são exibidos:

    1. ID do CA Privada da AWS Connector — O identificador exclusivo de um conector de CA Privada da AWS. Escolha para visualizar a página de detalhes.

    2. Assunto do CA Privada da AWS — Informações sobre o nome distinto da CA. Escolha para visualizar a página de detalhes.

    3. Status — Resultados da verificação de status do CA Privada da AWS Connector eCA Privada da AWS:

      • Ativo — Ambas as verificações foram aprovadas

      • 1/2 verificação falhou — Uma verificação falhou

      • Falhou — Ambas as verificações falharam

      Para obter mais informações sobre um status de falha, passe o mouse sobre o hiperlink para saber qual verificação falhou.

    4. Status de inscrição de certificados DC — Verificação do status do certificado do controlador de domínio:

      • Habilitado — A inscrição do certificado está ativada

      • Desabilitado — A inscrição do certificado está desativada

    5. Data de criação — Quando o CA Privada da AWS Connector foi criado.

Para obter mais informações, consulte Visualizar detalhes do conector.

A tabela a seguir mostra os diferentes status da inscrição do certificado de controlador de domínio para o AWS Managed Microsoft AD com o CA Privada da AWS.

Status da inscrição DC Descrição Ação necessária

Habilitada

Os certificados do controlador de domínio foram registrados com sucesso no diretório.

Nenhuma ação necessária.

Falha

Falha na ativação ou desativação do registro do certificado do controlador de domínio no diretório.

Se a ação de habilitação falhar, tente novamente desativando os certificados do controlador de domínio e ligando-os novamente. Se a ação de desativação falhar, tente novamente ativando os certificados do controlador de domínio e depois desativando novamente. Se a nova tentativa falhar, entre em contato com o Suporte AWS.

Impaired (Degradado)

Os controladores de domínio têm problemas de conectividade de rede na comunicação com os endpoints CA Privada da AWS.

Verifique as políticas do endpoint da VPC CA Privada da AWS e do bucket S3 para permitir a conectividade de rede com o diretório. Para obter mais informações, consulte Solucionar mensagens de exceção da Autoridade de Certificação Privada AWS e Solucionar problemas de revogação de certificados CA Privada da AWS.

Desabilitado

O registro do certificado do controlador de domínio foi desativado com sucesso no diretório.

Nenhuma ação necessária.

Desabilitando

A desabilitação da inscrição do certificado do controlador de domínio está em andamento.

Nenhuma ação necessária.

Habilitar

A habilitação da inscrição do certificado do controlador de domínio está em andamento.

Nenhuma ação necessária.

Configuração de políticas do AD

O CA Privada da AWS Connector para AD deve ser configurado para que objetos e controladores de domínio do AWS Managed Microsoft AD possam solicitar e receber certificados. Configure o objeto da política de grupo (GPO) para que o CA Privada da AWS possa emitir certificados para objetos do AWS Managed Microsoft AD.

Como configurar políticas do Active Directory para controladores de domínio

Ativar políticas do Active Directory para controladores de domínio

  1. Abra a guia Rede e segurança.

  2. Escolha CA Privada da AWS Connectors.

  3. Escolha um conector vinculado ao assunto CA Privada da AWS que emite certificados de controlador de domínio para o diretório.

  4. Escolha Ações, Ativar certificados de controlador de domínio.

Importante

Configure um modelo de controlador de domínio válido antes de ativar os certificados do controlador de domínio para evitar atrasos nas atualizações.

Depois de ativar a inscrição do certificado do controlador de domínio, os controladores de domínio do diretório solicitam e recebem certificados do CA Privada da AWS Connector para AD.

Para alterar a emissão de CA Privada da AWS para certificados para controladores de domínio, primeiro conecte o novo CA Privada da AWS ao diretório usando um novo CA Privada da AWS Connector para AD. Antes de ativar o registro do certificado no novo CA Privada da AWS, desative o registro do certificado no existente:

Desativar certificados de controlador de domínio

  1. Abra a guia Rede e segurança.

  2. Escolha CA Privada da AWS Connectors.

  3. Escolha um conector vinculado ao assunto CA Privada da AWS que emite certificados de controlador de domínio para o diretório.

  4. Escolha Ações, Desativar certificados de controlador de domínio.

Como configurar políticas do Active Directory para usuários, computadores e máquinas associados ao domínio

Configurar objetos de política de grupo

  1. Conecte-se à instância administrativa do AWS Managed Microsoft AD e abra Gerenciador do servidor no menu Iniciar.

  2. Em Ferramentas, escolha Gerenciamento de política de grupo.

  3. Em Floresta e domínios, encontre a unidade organizacional (UO) de subdomínio (por exemplo, corp é a unidade organizacional de subdomínio se você seguiu os procedimentos descritos em Criação do AWS Managed Microsoft AD) e clique com o botão direito na UO do subdomínio. Escolha Criar um GPO neste domínio e vinculá-lo aqui e insira PCA GPO no nome. Escolha OK.

  4. O GPO recém-criado é exibido após o nome do subdomínio. Clique com o botão direito em PCA GPO e escolha Editar. Se uma caixa de diálogo for aberta com a mensagem de alerta Este é um link e as alterações serão propagadas globalmente, confirme a mensagem escolhendo OK para continuar. A janela Editor de gerenciamento de políticas de grupo é aberta.

  5. Na janela Editor de gerenciamento de políticas de grupo, acesse Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Políticas de chave pública (escolha a pasta).

  6. Em Tipo de objeto, escolha Cliente de serviços de certificado: política de inscrição de certificado.

  7. Na janela Cliente de serviços de certificados: política de registro de certificados, altere o Modelo de configuração para Habilitado.

  8. Confirme se a Política de inscrição do Active Directory está selecionada e Habilitada. Escolha Adicionar.

  9. A caixa de diálogo Servidor de políticas de inscrição de certificado é aberta. Insira o endpoint do servidor de política de inscrição de certificados que você gerou ao criar o conector no campo Inserir URI da política do servidor de inscrição. Deixe Tipo de autenticação como Windows integrado.

  10. Escolha Validar. Depois que a validação for bem-sucedida, escolha Adicionar.

  11. Volte para a caixa de diálogo Cliente de serviços de certificado: política de inscrição de certificado e selecione a caixa ao lado do conector recém-criado para garantir que ele seja a política de inscrição padrão.

  12. Escolha Política de inscrição do Active Directory e escolha Remover.

  13. Na caixa de diálogo de confirmação, escolha Sim para excluir a autenticação baseada em LDAP.

  14. Escolha Aplicar e OK na janela Cliente de serviços de certificados: política de inscrição de certificado. Em seguida, feche a janela.

  15. Em Tipo de objeto na pasta Políticas de chave pública, escolha Cliente de serviços de certificados: registro automático.

  16. Altere a opção Modelo de configuração para Habilitado.

  17. Confirme se as opções Renovar certificados expirados e Atualizar certificados estão selecionadas. Deixe as outras configurações como estão.

  18. Escolha Aplicar e depois OK e feche a caixa de diálogo.

Em seguida, configure as Políticas de chave pública para configuração de usuários repetindo as etapas 6 a 17 na seção Configuração do usuário > Políticas > Configurações do Windows > Configurações de segurança > Políticas de chave pública.

Após concluir a configuração dos GPOs e das políticas de chave pública, os objetos no domínio solicitam certificados do CA Privada da AWS Connector para AD e recebem certificados emitidos pelo CA Privada da AWS.

Confirmação de que o CA Privada da AWS emitiu um certificado

O processo de atualização do CA Privada da AWS para emitir certificados do AWS Managed Microsoft AD pode levar até 8 horas.

Você pode executar uma das seguintes ações:

  • Você pode aguardar esse período.

  • Você pode reiniciar as máquinas associadas ao domínio do AWS Managed Microsoft AD configuradas para receber certificados do CA Privada da AWS. Em seguida, você pode confirmar se o CA Privada da AWS emitiu os certificados para membros do domínio do AWS Managed Microsoft AD seguindo o procedimento na documentação da Microsoft.

  • Você pode usar o seguinte comando do PowerShell para atualizar os certificados do AWS Managed Microsoft AD:

    certutil -pulse