Crie um modelo de conector

Para criar um modelo usando o console

1. Faça login na sua AWS conta e abra o console do AWS Private CA Connector for Active Directory emhttps://console.aws.amazon.com/pca-connector-ad/home.

2. Escolha um conector na lista Conectores para Active Directory e escolha Visualizar detalhes.

3. Na página de detalhes do conector, encontre a seção Modelos e escolha Criar modelo.

4. Na página Criar modelo, na seção Método de criação de modelo, escolha uma das opções de método.

   • Começar com um modelo predefinido (padrão): escolha em uma lista de modelos predefinidos para aplicações do AD:

     • Assinatura de código

     • Computador

     • Autenticação do controlador de domínio

     • Agente de recuperação do EFS

     • Agente de inscrição

     • Agente de inscrição (computador)

     • IPSec

     • Autenticação Kerberos

     • Servidor RAS e IAS

     • Logon com cartão inteligente

     • Assinatura de lista de confiança

     • Assinatura de usuário

     • Autenticação de estação de trabalho

   • Comece com um modelo existente que você criou: escolha em uma lista de modelos personalizados que você criou anteriormente.

   • Comece com um modelo em branco: escolha essa opção para começar a criar um modelo completamente novo.

5. Na seção Configurações do certificado, defina as seguintes configurações para certificados com base nesse modelo.

   • Tipo de certificado: especifique se deseja criar certificados de usuário ou computador.

   • Inscrição automática: escolha se deseja ativar a inscrição automática para certificados com base nesse modelo.

   • Período de validade: especifique um período de validade do certificado como um valor inteiro de horas, dias, semanas, meses ou anos. O valor mínimo é de 2 horas.

   • Período de renovação: especifique um período de renovação do certificado como um valor inteiro de horas, dias, semanas, meses ou anos. O período de renovação não deve exceder 75% do período de validade.

   • Nome do requerente: escolha uma ou mais opções a serem incluídas no nome do requerente com base nas informações contidas no Active Directory.

     nota

     Pelo menos um nome de requerente ou opção de nome alternativo de requerente deve ser especificado.

     • Nome comum

     • DNS como nome comum

     • Caminho do diretório

     • E-mail

   • Nome alternativo do requerente: escolha uma ou mais opções a serem incluídas no nome alternativo do requerente com base nas informações contidas no Active Directory.

     nota

     Pelo menos um nome de requerente ou opção de nome alternativo de requerente deve ser especificado.

     • GUID de diretório

     • Nome DNS

     • DNS do domínio

     • E-mail

     • Nome da entidade principal do serviço (SPN)

     • Nome da entidade principal do usuário (UPN)

6. Na seção Opções de registro e tratamento de solicitações de certificados, especifique a finalidade dos certificados com base no modelo, escolhendo uma das opções a seguir.

   • Assinatura

   • Criptografia

   • Assinatura e criptografia

   • Assinatura e login com cartão inteligente

   Em seguida, escolha qual dos seguintes recursos ativar. As opções variam dependendo do propósito do certificado.

   • Excluir certificados inválidos (não arquivar)

   • Inclua algoritmos simétricos

   • Chave privada exportável

   Por fim, escolha uma opção de inscrição do certificado. As opções variam dependendo do propósito do certificado.

   • Nenhuma entrada do usuário é necessária

   • Solicitar ao usuário durante a inscrição

   • Solicitar ao usuário durante a inscrição e exigir entrada do usuário

7. Na seção Políticas de aplicações, escolha todas as políticas de aplicações aplicáveis. As políticas disponíveis estão listadas em várias páginas. Algumas políticas podem ser pré-selecionadas devido a configurações anteriores.

8. Na seção Políticas personalizadas do aplicativo, você pode adicionar personalização OIDs ao modelo e especificar se as extensões da política do aplicativo são críticas.

9. Na seção Configurações de criptografia, escolha as seguintes categorias de configurações de criptografia para certificados com base nesse modelo.

10. Na seção Grupos e permissões, você pode ver os modelos de grupos existentes e as permissões para inscrição ou pode escolher o botão Adicionar novos grupos e permissões para adicionar novos. O botão abre um formulário que exige estas informações:

    • Nome de exibição

    • Identificador de segurança (SID)

    • Inscrição, com as opções ALLOW | DENY | NOT SET

    • Inscrição automática, com as opções ALLOW | DENY | NOT SET

11. Na seção Modelos de substituição, você pode notificar o Active Directory de que o modelo atual substitui um ou mais modelos criados no AD. Aplique o modelo substitutivo escolhendo Adicionar modelo do Active Directory para substituir e especificando o nome comum do modelo de substituição.

12. No painel Tags – opcional, você pode aplicar e remover metadados no seu recurso do AD. Etiquetas são pares de strings de chave/valor em que a chave deve ser exclusiva do recurso e o valor é opcional. O painel exibe todas as etiquetas existentes para o recurso em uma tabela. As ações a seguir são compatíveis.

    • Escolha Gerenciar etiquetas para abrir a página Gerenciar etiquetas.

    • Escolha Adicionar nova etiqueta para criar uma etiqueta. Preencha o campo Chave e, opcionalmente, Valor. Escolha Salvar alterações para aplicar a etiqueta.

    • Escolha o botão Remover ao lado de uma etiqueta para marcá-la para exclusão e escolha Salvar alterações para confirmar.

13. Depois de fornecer as informações necessárias e analisar suas opções, escolha Criar modelo. Isso abre os Detalhes do modelo, em que você pode revisar as configurações do novo modelo, editar ou excluir o modelo, gerenciar grupos e permissões, gerenciar modelos substituídos, gerenciar etiquetas e definir a reinscrição automática para titulares de certificados.