为 AWS Managed Microsoft AD 设置 AWS 私有 CA Connector for AD
您可以将 AWS Managed Microsoft AD 与 AWS 私有证书颁发机构(CA)集成,从而为 Active Directory 域控制器、加入域的用户、组和计算机颁发和管理证书。AWS 私有 CAConnector for Active Directory 允许您使用完全托管的 AWS 私有 CA 简易替代方案来代替自行管理的企业 CA,而无需部署、修补或更新本地代理或代理服务器。
您可以通过 Directory Service 控制台、AWS 私有 CA Connector for Active Directory 控制台或调用 CreateTemplate API 来设置与目录的 AWS 私有 CA 集成。要通过 AWS 私有 CA Connector for Active Directory 控制台设置私有 CA 集成,请参阅创建连接器模板。有关如何从 Directory Service 控制台设置此集成,请参阅以下步骤。
设置 AWS 私有 CA Connector for AD
为 Active Directory 创建 Private CA 连接器
登录到 AWS 管理控制台,然后通过以下网址打开 Directory Service 控制台:https://console.aws.amazon.com/directoryservicev2/
。 在目录页面上,选择您的目录 ID。
在应用程序管理选项卡和 AWS 应用程序和服务部分下,选择 AWS 私有 CA Connector for AD。
在为 Active Directory 创建 Private CA 证书页面上,完成为 Active Directory Connector 创建 Private CA 的步骤。
有关更多信息,请参阅 Creating a connector。
查看 AWS 私有 CA Connector for AD
查看 Private CA 连接器的详细信息
登录到 AWS 管理控制台,然后通过以下网址打开 Directory Service 控制台:https://console.aws.amazon.com/directoryservicev2/
。 在目录页面上,选择您的目录 ID。
在应用程序管理选项卡和 AWS 应用程序与服务部分下,查看您的 Private CA 连接器和关联的 Private CA。显示以下字段:
AWS 私有 CA Connector ID – AWS 私有 CA Connector 的唯一标识符。选择以查看详细信息页面。
AWS 私有 CA 使用者 – 有关 CA 的可分辨名称的信息。选择以查看详细信息页面。
状态:AWS 私有 CA Connector 和 AWS 私有 CA 的状态检查结果:
激活:两项检查均通过
1/2 检查失败:一次检查失败
失败:两次检查均失败
有关失败状态的详细信息,请将鼠标悬停在超链接上查看检查失败项。
DC 证书注册状态:域控制器证书状态检查:
启用:证书注册已启用
禁用:证书注册已禁用
创建日期:AWS 私有 CA Connector 的创建时间。
有关更多信息,请参阅 View connector details。
下表显示了AWS Managed Microsoft AD 的域控制器证书注册的不同状态。AWS 私有 CA
| DC 注册状态 | 描述 | 所需操作 |
|---|---|---|
|
已启用 |
域控制器证书已成功注册到您的目录。 |
无需操作。 |
|
失败 |
为目录启用或禁用域控制器证书注册失败。 |
如果启用操作失败,请通过关闭并再次打开域控制器证书进行重试。如果禁用操作失败,请通过打开并再次关闭域控制器证书进行重试。如果重试失败,请联系 AWS Support。 |
|
Impaired (受损) |
域控制器在与 AWS 私有 CA 端点通信时存在网络连接问题。 |
检查 AWS 私有 CA VPC 端点和 S3 存储桶策略以允许与目录建立网络连接。有关更多信息,请参阅解决 AWS 私有证书颁发机构异常消息和解决 AWS 私有 CA 证书吊销问题。 |
|
已禁用 |
已成功为目录关闭域控制器证书注册。 |
无需操作。 |
|
正在禁用 |
正在禁用域控制器证书注册。 |
无需操作。 |
|
启用 |
正在启用域控制器证书注册。 |
无需操作。 |
配置 AD 策略
必须配置 AWS 私有 CA Connector for AD,使 AWS Managed Microsoft AD 域控制器和对象可以请求和接收证书。配置您的组策略对象(GPO
为域控制器配置 Active Directory 策略
为域控制器开启 Active Directory 策略
-
打开网络和安全选项卡。
-
选择 AWS 私有 CA 连接器
-
选择一个链接到向目录颁发域控制器证书的 AWS 私有 CA 主题的连接器。
-
选择操作、启用域控制器证书。
重要
在开启域控制器证书之前,请配置有效的域控制器模板,以避免更新延迟。
开启域控制器证书注册后,目录的域控制器从 AWS 私有 CA Connector for AD 请求和接收证书。
要更改域控制器证书的颁发 AWS 私有 CA,请使用新的 AWS 私有 CA Connector for AD,先将新 AWS 私有 CA 连接至目录。在新 AWS 私有 CA 上开启证书注册之前,关闭现有颁发机构上的证书注册:
关闭域控制器证书
-
打开网络和安全选项卡。
-
选择 AWS 私有 CA 连接器
-
选择一个链接到向目录颁发域控制器证书的 AWS 私有 CA 主题的连接器。
-
选择操作、禁用域控制器证书。
为加入域的用户、计算机和机器配置 Active Directory 策略
配置组策略对象
-
连接到 AWS Managed Microsoft AD 管理实例,然后从开始菜单中打开服务器管理器
。 -
在工具下,选择组策略管理。
-
在林和域下,找到您的子域组织单元(OU)(例如,如果您按照 创建 AWS Managed Microsoft AD 中概述的过程进行操作,则子域组织单元为
corp),然后右键单击您的子域 OU。选择在此域中创建 GPO,并将其链接到此处,然后在名称中输入 PCA GPO。选择确定。 -
新创建的 GPO 将出现在您的子域名后面。右键单击
PCA GPO并选择编辑。如果打开的对话框显示警报消息这是一个链接,更改将全局传播,请选择确定以继续。组策略管理编辑器窗口将打开。 -
在组策略管理编辑器窗口中,转到计算机配置 > 策略 > Windows 设置 > 安全设置 > 公有密钥政策(选择文件夹)。
-
在对象类型下,选择证书服务客户端 – 证书注册策略。
-
在证书服务客户端 – 证书注册策略窗口中,将配置模型更改为启用。
-
确认已选中并启用 Active Directory 注册策略。选择添加。
-
证书注册策略服务器窗口将打开。在输入注册服务器策略 URI 字段中输入创建连接器时生成的证书注册策略服务器端点。将身份验证类型保留为 Windows 集成。
-
选择验证。验证成功后,选择添加。
-
返回证书服务客户端 – 证书注册策略对话框并选中新创建的连接器旁边的复选框,以确保连接器为默认注册策略。
-
选择 Active Directory 注册策略,然后选择删除。
-
在确认对话框中,选择是以删除基于 LDAP 的身份验证。
-
在证书服务客户端 – 证书注册策略窗口中,选择应用,然后选择确定。然后关闭窗口。
-
在公有密钥政策文件夹的对象类型下,选择证书服务客户端 – 自动注册。
-
将配置模型选项更改为启用。
-
确认续订过期的证书和更新证书选项均已选中。保持其他设置不变。
-
依次选择应用、确定,然后关闭对话框。
接下来,重复步骤 6-17 中的用户配置 > 策略 > Windows 设置 > 安全设置 > 公有密钥策略部分,配置用户配置公有密钥策略。
配置完 GPO 和公有密钥策略后,域中的对象将向 AWS 私有 CA Connector for AD 请求证书,并获得由 AWS 私有 CA 颁发的证书。
确认 AWS 私有 CA 已颁发证书
更新 AWS 私有 CA 以为 AWS Managed Microsoft AD 颁发证书的过程最多需要 8 个小时。
您可以执行以下操作之一:
-
您可以等待一段时间。
-
您可以重新启动已加入 AWS Managed Microsoft AD 域的计算机,这些计算机配置为从 AWS 私有 CA 接收证书。然后,您可以按照 Microsoft 文档
中的过程进行操作,以便确认 AWS 私有 CA 已向 AWS Managed Microsoft AD 域的成员颁发了证书。 -
您可以使用以下 PowerShell 命令更新 AWS Managed Microsoft AD 的证书:
certutil -pulse
