本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 AWS 托管的 Microsoft AD 设置 AD AWS 私有 CA 连接器
<a name="ms_ad_pca_connector"></a>

你可以将 AWS 托管 Microsoft AD 与 [AWS 私有证书颁发机构 (CA)](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html) 集成，为你的 Active Directory 域控制器、加入域的用户、群组和计算机颁发和管理证书。 AWS 私有 CA Connector for Active Directory 允许您使用完全托管的 AWS 私有 CA 嵌入式替代方案来代替自行管理的企业， CAs 而无需部署、修补或更新本地代理或代理服务器。

您可以通过控制台、Active Directory Directory Service 控制台的 AWS 私有 CA 连接器或通过调用 [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html)API 来设置与目录的集 AWS 私有 CA 成。要通过 Active Directory AWS 私有 CA 连接器控制台设置私有 CA 集成，请参阅[创建连接器模板](https://docs.aws.amazon.com/privateca/latest/userguide/create-ad-template.html)。请参阅以下步骤，了解如何从 Directory Service 控制台设置此集成。

## 为 AD 设置 AWS 私有 CA 连接器
<a name="ms_ad_pca_connector_set_up"></a>

**为 Active Directory 创建私有 CA 连接器**

1. 登录 AWS 管理控制台 并打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1. 在**目录**页面上，选择您的目录 ID。

1. 在**应用程序管理**选项卡和 **AWS 应用程序和服务**部分下，选择 **AWS 私有 CA Connector for AD**。

1. 在**为 Active Directory 创建私有 CA 证书**页面上，完成为 Active Directory Connector 创建私有 CA 的步骤。

有关更多信息，请参阅 [Creating a connector](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html)。

## AD 的查看 AWS 私有 CA 连接器
<a name="ms_ad_pca_connector_view"></a>

**查看私有 CA 连接器的详细信息**

1. 登录 AWS 管理控制台 并打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1. 在**目录**页面上，选择您的目录 ID。

1. 在**应用程序管理**选项卡和 **AWS 应用程序与服务**部分下，查看您的私有 CA 连接器和关联的私有 CA。显示以下字段：

   1. **AWS 私有 CA 连接器 ID**- AWS 私有 CA 连接器的唯一标识符。选择以查看详细信息页面。

   1. **AWS 私有 CA 主题**-有关 CA 的可分辨名称的信息。选择以查看详细信息页面。

   1. **状态**- AWS 私有 CA 连接器的状态检查结果以及 AWS 私有 CA：
      + **激活**：两项检查均通过
      + **1/2 检查失败**：一次检查失败
      + **失败**：两次检查均失败

      有关失败状态的详细信息，请将鼠标悬停在超链接上查看检查失败项。

   1. **DC 证书注册状态**：域控制器证书状态检查：
      + **启用**：证书注册已启用
      + **禁用**：证书注册已禁用

   1. **创建日期**- AWS 私有 CA 连接器的创建时间。

有关更多信息，请参阅 [View connector details](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html)。

下表显示了 AWS 托管 Microsoft AD 的域控制器证书注册的不同状态。 AWS 私有 CA


| DC 注册状态 | 说明 | 所需操作 | 
| --- | --- | --- | 
|  已启用  |  域控制器证书已成功注册到您的目录。  |  无需操作。  | 
|  失败  |  为目录启用或禁用域控制器证书注册失败。  |  如果启用操作失败，请通过关闭并再次打开域控制器证书进行重试。如果禁用操作失败，请通过打开并再次关闭域控制器证书进行重试。如果重试失败，请联系 AWS Support。  | 
|  Impaired (受损)  |  域控制器在与 AWS 私有 CA 端点通信时存在网络连接问题。  |  检查 AWS 私有 CA VPC 终端节点和 S3 存储桶策略以允许与您的目录建立网络连接。有关更多信息，请参阅[解决 AWS 私有证书颁发机构异常消息](https://docs.aws.amazon.com/privateca/latest/userguide/PCATsExceptions.html)和[解决 AWS 私有 CA 证书吊销问题](https://docs.aws.amazon.com/privateca/latest/userguide/troubleshoot-certificate-revocation.html)。  | 
|  已禁用  |  已成功为目录关闭域控制器证书注册。  |  无需操作。  | 
|  正在禁用  |  正在禁用域控制器证书注册。  |  无需操作。  | 
|  正在启用  |  正在启用域控制器证书注册。  |  无需操作。  | 

## 配置 AD 策略
<a name="ms_ad_pca_connector_configure"></a>

AWS 私有 CA 必须配置 AD 连接器，以便 AWS 托管 Microsoft AD 域控制器和对象可以请求和接收证书。配置您的组策略对象 ([GPO](https://learn.microsoft.com/previous-versions/windows/desktop/policy/group-policy-objects))，以便 AWS 私有 CA 可以向 AWS 托管的 Microsoft AD 对象颁发证书。

### 为域控制器配置 Active Directory 策略
<a name="ms_ad_pca_connector_configure_dc"></a>

**为域控制器开启 Active Directory 策略**

1. 打开**网络和安全**选项卡。

1. 选择 **AWS 私有 CA 连接器**

1. 选择一个链接到向您的目录颁发域控制器证书的 AWS 私有 CA 主题的连接器。

1. 选择**操作**、**启用域控制器证书**。

**重要**  
在开启域控制器证书之前，请配置有效的域控制器模板，以避免更新延迟。

开启域控制器证书注册后，目录的域控制器从 AWS 私有 CA Connector for AD 请求和接收证书。

要更改您的域控制器证书颁发 AWS 私有 CA 方式，请先使用新的 AD AWS 私有 CA 连接器将新证书 AWS 私有 CA 连接到您的目录。在新版本上开启证书注册之前 AWS 私有 CA，请关闭现有证书的注册功能：

**关闭域控制器证书**

1. 打开**网络和安全**选项卡。

1. 选择 **AWS 私有 CA 连接器**

1. 选择一个链接到向您的目录颁发域控制器证书的 AWS 私有 CA 主题的连接器。

1. 选择**操作**、**禁用域控制器证书**。

### 为加入域的用户、计算机和机器配置 Active Directory 策略
<a name="ms_ad_pca_connector_configure_gpo"></a>

**配置组策略对象**

1. 连接到 Microsoft AD AWS 托管管理实例，然后从 “**开始**” 菜单中打开 “[服务器管理器](https://learn.microsoft.com/windows-server/administration/server-manager/server-manager)”。

1. 在**工具**下，选择**组策略管理**。

1. 在**林和域**下，找到您的子域组织单元（OU）（例如，如果您按照 [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory) 中概述的过程进行操作，则子域组织单元为 `corp`），然后右键单击您的子域 OU。选择**在此域中创建 GPO，并将其链接到此处**，然后在名称中输入 PCA GPO。选择**确定**。

1. 新创建的 GPO 将出现在您的子域名后面。右键单击 `PCA GPO` 并选择**编辑**。如果打开的对话框显示警报消息这是一个链接，更改将全局传播，请选择**确定**以继续。**组策略管理编辑器**窗口将打开。

1. 在**组策略管理编辑器**窗口中，转到**计算机配置 > 策略 > Windows 设置 > 安全设置 > 公有密钥政策（选择文件夹）**。

1. 在**对象类型**下，选择**证书服务客户端 – 证书注册策略**。

1. 在**证书服务客户端 – 证书注册策略**窗口中，将**配置模型**更改为**启用**。

1. 确认已选中并**启用** **Active Directory 注册策略**。选择**添加**。

1. **证书注册策略服务器**窗口将打开。在**输入注册服务器策略 URI** 字段中输入创建连接器时生成的证书注册策略服务器端点。将**身份验证类型**保留为 **Windows 集成**。

1. 选择**验证**。验证成功后，选择**添加**。

1. 返回**证书服务客户端 – 证书注册策略**对话框并选中新创建的连接器旁边的复选框，以确保连接器为默认注册策略。

1. 选择 **Active Directory 注册策略**，然后选择**删除**。

1. 在确认对话框中，选择**是**以删除基于 LDAP 的身份验证。

1. 在**证书服务客户端 – 证书注册策略**窗口中，选择**应用**，然后选择**确定**。然后关闭窗口。

1. 在**公有密钥政策文件夹的**对象类型**下，选择证书服务客户端 – 自动注册**。

1. 将**配置模型**选项更改为**启用**。

1. 确认**续订过期的证书**和**更新证书**选项均已选中。保持其他设置不变。

1. 依次选择**应用**、**确定**，然后关闭对话框。

接下来，重复步骤 6-17 中的**用户配置 > 策略 > Windows 设置 > 安全设置 > 公有密钥策略**部分，配置用户配置公有密钥策略。

配置 GPOs 完公钥策略后，域中的对象会向 Conn AWS 私有 CA ector for AD 请求证书并接收由颁发的证书 AWS 私有 CA。

## 确认 AWS 私有 CA 已签发证书
<a name="ms_ad_pca_connector_confirm"></a>

更新 AWS 私有 CA 为你的 AWS 托管 Microsoft AD 颁发证书的过程最多可能需要 8 个小时。

您可以执行以下操作之一：
+ 您可以等待一段时间。
+ 您可以重新启动配置为从接收证书的 AWS 托管 Microsoft AD 域加入的计算机 AWS 私有 CA。然后，您可以按照[Microsoft文档](https://learn.microsoft.com/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in)中的步骤确认 AWS 私有 CA 已向 AWS 托管 Microsoft AD 域的成员颁发了证书。
+ 您可以使用以下PowerShell命令更新 AWS 托管 Microsoft AD 的证书：

  ```
  certutil -pulse
  ```