本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 开始使用活动目录 AWS 私有 CA 连接器
<a name="connector-for-ad-getting-started"></a>

使用 Active Directory AWS 私有 CA 连接器，您可以将私有 CA 中的证书颁发给您的 Active Directory 对象进行身份验证和加密。创建连接器时， AWS 私有证书颁发机构 会在您的 VPC 中为您创建一个端点，以便您的目录对象请求证书。

要颁发证书，您需要创建连接器以及该连接器的 AD 兼容模板。创建模板时，您可以设置 AD 组的注册权限。



**Topics**
+ [开始前的准备工作](#connector-for-ad-before-you-begin)
+ [步骤 1：创建连接器](#connector-for-ad-getting-started-step1)
+ [步骤 2：配置微软 Active Directory 策略](#connector-for-ad-getting-started-step2)
+ [步骤 3：创建模板](#connector-for-ad-getting-started-step3)
+ [步骤 4：配置微软群组权限](#connector-for-ad-getting-started-step4)

## 开始前的准备工作
<a name="connector-for-ad-before-you-begin"></a>

以下教程将指导您完成为 AD 创建连接器和连接器模板的过程。要学习本教程，您必须首先满足本节中列出的先决条件。

## 步骤 1：创建连接器
<a name="connector-for-ad-getting-started-step1"></a>

要创建连接器，请参阅[为活动目录创建连接器](create-connector-for-ad.md)。

## 步骤 2：配置微软 Active Directory 策略
<a name="connector-for-ad-getting-started-step2"></a>

Connector for AD 无法查看或管理客户的组策略对象（GPO）配置。GPO 控制向客户或其他身份验证 AWS 私有 CA 或证书自动售卖服务器发送 AD 请求的路由。无效的 GPO 配置可能会导致您的请求路由不正确。由客户来配置和测试 Connector for AD 配置。

组策略与连接器关联，您可以选择为单个 AD 创建多个连接器。如果每个连接器的组策略配置不同，则由您来管理对每个连接器的访问控制。

数据面板调用的安全性取决于 Kerberos 和您的 VPC 配置。只要通过相应 AD 的身份验证，有权访问 VPC 的任何人都可以进行数据面板调用。这存在于边界之外，管理授权和身份验证由您（客户）决定。 AWSAuth 

 使用时 AWS Managed Microsoft AD，使用 Directory Service **enable-ca-enrollment-policy**命令在 AWS Managed Microsoft AD 实例的域控制器 GPOs 上进行配置。

以下命令允许注册域控制器：

```
$  aws ds enable-ca-enrollment-policy \
    --pca-connector-arn MyPcaConnectorAdArn \
    --directory-id MyDirectoryId
```

使用 AD Connector 时，请按照以下步骤创建指向创建连接器时生成的 URI 的 GPO。要通过控制台或命令行使用 Connector for AD，*需要*执行此步骤。

配置 GPOs。<a name="configure-gpo"></a>

1. 在 DC 上打开**服务器管理器**

1. 转到**工具**，然后选择控制台右上角的**组策略管理**。

1. 转到**林 > 域**。选择您的域名，然后右键单击您的域。选择*在此域中创建 GPO，并将其链接到此处...*，然后输入 `PCA GPO` 的名称。

1. 现在，新创建的 GPO 将在您的域名下列出。

1. 选择 **PCA GPO**，然后选择**编辑**。如果打开的对话框显示警报消息*这是一个链接，更改将在全球范围内传播*，请确认该消息以继续。**组策略管理编辑器**应打开。

1. 在**组策略管理编辑器**中，转到**计算机配置 > 策略 > Windows 设置 > 安全设置 > 公有密钥策略（选择文件夹）**。

1. 转到**对象类型**并选择**证书服务客户端 – 证书注册策略**

1. 在选项中，将**配置模型**更改为**启用**。

1. 确认已**选中**并**启用** **Active Directory 注册策略**。选择**添加**。

1. 此时应打开**证书注册策略服务器**窗口。

1. 在**输入注册服务器策略 URI** 字段中输入创建连接器时生成的证书注册策略服务器端点。

1. 将**身份验证类型**保留为 **Windows 集成**。

1. 选择**验证**。验证成功后，选择**添加**。对话框关闭。

1. 返回**证书服务客户端 – 证书注册策略**并选中新创建的连接器旁边的复选框以确保连接器为默认注册策略

1. 选择 **Active Directory 注册策略**，然后选择**删除**。

1. 在确认对话框中，选择**是**以删除基于 LDAP 的身份验证。

1. 在**证书服务客户端>证书注册策略**窗口中选择**应用**和**确定**，然后将其关闭。

1. 转到**公有密钥策略**文件夹，然后选择**证书服务客户端 – 自动注册**。

1. 将**配置模型**选项更改为**启用**。

1. 确认**续订过期的证书**和**更新证书**均已选中。保持其他设置不变。

1. 选择 “**应用**”，然后选择 **“确定”**，然后关闭对话框。

接下来，配置用户配置的公有密钥策略。转到**用户配置 > 策略 > Windows 设置 > 安全设置 > 公有密钥策略**。按照步骤 6 到步骤 21 中概述的步骤配置用户配置的公有密钥策略。

配置 GPOs 完公钥策略后，域中的对象将从 Conn AWS 私有 CA ector for AD 请求证书，并获得由颁发的证书 AWS 私有 CA。

## 步骤 3：创建模板
<a name="connector-for-ad-getting-started-step3"></a>

要创建模板，请参阅[创建连接器模板](create-ad-template.md)。

## 步骤 4：配置微软群组权限
<a name="connector-for-ad-getting-started-step4"></a>

要配置 Microsoft 群组权限，请参阅[管理 AD 模板访问控制条目的连接器](ad-groups-permissions.md)。