本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 AWS 托管的 Microsoft AD 设置 AD AWS Private CA 连接器
你可以将 AWS 托管 Microsoft AD 与 AWS Private Certificate Authority (CA) 集成,为你的 Active Directory 域控制器、加入域的用户、群组和计算机颁发和管理证书。 AWS Private CA Connector for Active Directory 允许您使用完全托管的 AWS Private CA 嵌入式替代方案来代替自行管理的企业, CAs 而无需部署、修补或更新本地代理或代理服务器。
您可以通过控制台、Active Directory AWS Directory Service 控制台的 AWS Private CA
连接器或通过调用 CreateTemplateAPI 来设置与目录的集 AWS Private CA 成。要通过 Active Directory AWS Private CA 连接器控制台设置私有 CA 集成,请参阅创建连接器模板。请参阅以下步骤,了解如何从 AWS Directory Service 控制台设置此集成。
为 AD 设置 AWS Private CA 连接器
为活动目录创建私有 CA 连接器
登录 AWS Management Console 并打开 AWS Directory Service 控制台,网址为https://console.aws.amazon.com/directoryservicev2/
。 在目录页面上,选择您的目录 ID。
在 “应用程序管理” 选项卡和 “AWS 应用程序和服务” 部分下,选择 AD AWS Private CA 连接器。
在 “为 Active Directory 创建私有 CA 证书” 页面上,完成为 Active Directory 连接器创建私有 CA 的步骤。
有关更多信息,请参阅 Creating a connector。
AD 的查看 AWS Private CA 连接器
查看专用 CA 连接器详细信息
登录 AWS Management Console 并打开 AWS Directory Service 控制台,网址为https://console.aws.amazon.com/directoryservicev2/
。 在目录页面上,选择您的目录 ID。
在 “应用程序管理” 选项卡和 “AWS 应用程序和服务” 部分下,查看您的私有 CA 连接器和关联的私有 CA。将显示以下字段:
AWS Private CA 连接器 ID- AWS Private CA 连接器的唯一标识符。选择它以查看详细信息页面。
AWS Private CA 主题-有关 CA 的可分辨名称的信息。选择它以查看详细信息页面。
状态- AWS Private CA 连接器的状态检查结果以及 AWS Private CA:
激活-两项检查均通过
1/2 次检查失败 — 一次检查失败
失败 — 两次检查均失败
有关失败状态的详细信息,请将鼠标悬停在超链接上以查看哪个检查失败。
DC 证书注册状态-域控制器证书状态检查:
已启用-证书注册已启用
已禁用-证书注册已禁用
创建日期- AWS Private CA 连接器的创建时间。
有关更多信息,请参阅 View connector details。
下表显示了 AWS 托管 Microsoft AD 的域控制器证书注册的不同状态。 AWS Private CA
| 华盛顿特区注册状态 | 描述 | 所需操作 |
|---|---|---|
|
已启用 |
域控制器证书已成功注册到您的目录。 |
无需操作。 |
|
失败 |
为您的目录启用或禁用域控制器证书注册失败。 |
如果您的启用操作失败,请通过关闭域控制器证书然后再次打开来重试。如果您的禁用操作失败,请通过打开域控制器证书然后再次关闭来重试。如果重试失败,请联系 Suppor AWS t。 |
|
Impaired (受损) |
域控制器在与 AWS Private CA 端点通信时存在网络连接问题。 |
检查 AWS Private CA VPC 终端节点和 S3 存储桶策略以允许与您的目录建立网络连接。有关更多信息,请参阅解决 AWS 私有证书颁发机构异常消息和解决 AWS Private CA 证书吊销问题。 |
|
已禁用 |
已成功关闭目录的域控制器证书注册。 |
无需操作。 |
|
正在禁用 |
正在禁用域控制器证书注册。 |
无需操作。 |
|
正在启用 |
域控制器证书注册启用正在进行中。 |
无需操作。 |
配置 AD 策略
AWS Private CA 必须配置 AD 连接器,以便 AWS 托管 Microsoft AD 域控制器和对象可以请求和接收证书。配置您的组策略对象 (GPO
为域控制器配置活动目录策略
为域控制器开启活动目录策略
-
打开 “网络和安全” 选项卡。
-
选择 “AWS Private CA 连接器”。
-
选择一个链接到向您的目录颁发域控制器证书的 AWS Private CA 主题的连接器。
-
选择操作,启用域控制器证书。
重要
在开启域控制器证书之前,请配置有效的域控制器模板,以避免延迟更新。
开启域控制器证书注册后,您的目录的域控制器会从 Conn AWS Private CA ector for AD 请求并接收证书。
要更改您的域控制器证书颁发 AWS Private CA 方式,请先使用新的 AD AWS Private CA 连接器将新证书 AWS Private CA 连接到您的目录。在新版本上开启证书注册之前 AWS Private CA,请关闭现有证书的注册功能:
关闭域控制器证书
-
打开 “网络和安全” 选项卡。
-
选择 “AWS Private CA 连接器”。
-
选择一个链接到向您的目录颁发域控制器证书的 AWS Private CA 主题的连接器。
-
选择操作,禁用域控制器证书。
为加入域的用户、计算机和计算机配置 Active Directory 策略
配置组策略对象
-
连接到 Microsoft AD AWS 托管管理实例,然后从 “开始” 菜单中打开 “服务器管理器
”。 -
在 “工具” 下,选择 “组策略管理”。
-
在 Forest an d Domains 下,找到您的子域组织单位 (OU)(例如,如果您遵循中概述的程序,则
corp是您的子域组织单位创建你的 Microsoft AWS 托管广告),然后右键单击您的子域组织单位。选择在此域中创建 GPO,然后将其链接到此处,然后输入 PCA GPO 作为名称。选择确定。 -
新创建的 GPO 将显示在您的子域名后面。右键单击
PCA GPO,然后选择 “编辑”。如果打开的对话框中显示一条警报消息,指出这是一个链接并且更改将在全球范围内传播,请选择 “确定” 以继续确认该消息。将打开 “组策略管理编辑器” 窗口。 -
在组策略管理编辑器窗口中,转到计算机配置 > 策略 > Windows 设置 > 安全设置 > 公有密钥政策(选择文件夹)。
-
在对象类型下,选择证书服务客户端 – 证书注册策略。
-
在证书服务客户端 – 证书注册策略窗口中,将配置模型更改为启用。
-
确认已选中并启用 Active Directory 注册策略。选择添加。
-
将打开 “证书注册策略服务器” 对话框。在输入注册服务器策略 URI 字段中输入您在创建连接器时生成的证书注册策略服务器端点。将身份验证类型保留为 Windows 集成。
-
选择验证。验证成功后,选择添加。
-
返回到 “证书服务客户端-证书注册策略” 对话框并选中新创建的连接器旁边的复选框,以确保该连接器是默认的注册策略。
-
选择 Active Directory 注册策略并选择删除。
-
在确认对话框中,选择是以删除基于 LDAP 的身份验证。
-
在证书服务客户端 – 证书注册策略窗口中,选择应用,然后选择确定。然后关闭窗口。
-
在公有密钥政策文件夹的对象类型下,选择证书服务客户端 – 自动注册。
-
将配置模型选项更改为启用。
-
确认已选中 “续订过期证书” 和 “更新证书” 选项。保持其他设置不变。
-
依次选择应用、确定,然后关闭对话框。
接下来,重复用户配置 > 策略 > Windows 设置 > 安全设置 > 公钥策略部分中的步骤 6-17,为用户配置配置配置公钥策略。
配置 GPOs 完公钥策略后,域中的对象会向 Conn AWS Private CA ector for AD 请求证书并接收由颁发的证书 AWS Private CA。
确认 AWS Private CA 已签发证书
更新 AWS Private CA 为你的 AWS 托管 Microsoft AD 颁发证书的过程最多可能需要 8 个小时。
您可以执行以下操作之一:
-
您可以等待一段时间。
-
您可以重新启动配置为从接收证书的 AWS 托管 Microsoft AD 域加入的计算机 AWS Private CA。然后,您可以按照Microsoft文档
中的步骤确认 AWS Private CA 已向 AWS 托管 Microsoft AD 域的成员颁发了证书。 -
您可以使用以下PowerShell命令更新 AWS 托管 Microsoft AD 的证书:
certutil -pulse
