本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建连接器模板 模板是证书颁发后的外观以及客户端应如何处理证书的配置列表。以下过程说明了如何创建模板。 ------ #### [ Console ] **使用控制台创建模板** 1. 登录您的 AWS 账户,然后打开 Active Directory AWS 私有 CA 连接器控制台,网址为**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**。 1. 从**适用于 Active Directory 的连接器**列表中选择一个连接器,然后选择**查看详细信息**。 1. 在连接器的详细信息页面上,找到**模板**部分,然后选择**创建模板**。 1. 在**创建模板**页面的**模板创建方法**部分,选择其中一个方法选项。 + **从预定义的模板开始**(默认值)– 从 AD 应用程序的预定义模板列表中进行选择: + **代码签名** + **计算机** + **域控制器身份验证** + **EFS 恢复代理** + **注册代理** + **注册代理(计算机)** + **IPSec** + **Kerberos 身份验证** + **RAS 和 IAS 服务器** + **智能卡登录** + **信任列表签名** + **用户签名** + **工作站身份验证** + **从您创建的现有模板开始** – 从您之前创建的自定义模板列表中进行选择。 + **从空白模板开始** – 选择此选项可开始创建全新的模板。 1. 在**证书设置**部分,根据此模板定义证书的以下设置。 + **证书类型** – 指定是创建**用户**证书还是**计算机**证书。 + **自动注册** – 根据此模板选择是否激活证书的自动注册。 + **有效期** – 将证书有效期指定为小时、天、周、月或年的整数值。最小值为 2 小时。 + **续订期限** – 将证书续订期限指定为小时、天、周、月或年的整数值。续订期限不得超过有效期的 75%。 + **使用者名称** – 根据 Active Directory 中包含的信息,选择要包含在使用者名称中的一个或多个选项。 **注意** 必须至少指定一个使用者名称或使用者备用名称选项。 + **公用名** + **将 DNS 作为公用名** + **目录路径** + **电子邮件** + **使用者备用名称** – 根据 Active Directory 中包含的信息,选择要包含在使用者备用名称中的一个或多个选项。 **注意** 必须至少指定一个使用者名称或使用者备用名称选项。 + **目录 GUID** + **DNS 名称** + **域 DNS** + **电子邮件** + **服务主体名称(SPN)** + **用户主体名称(UPN)** 1. 在**证书请求处理和注册选项**部分,根据模板指定证书的用途,选择以下选项之一。 + **签名** + **加密** + **签名和加密** + **签名和智能卡登录** 接下来,选择要激活以下哪些功能。选项因证书用途而有所不同。 + **删除无效的证书(不存档)** + **包括对称算法** + **可导出的私有密钥** 最后,选择证书注册选项。选项因证书用途而有所不同。 + **无需用户输入** + **在注册期间提示用户** + **在注册期间提示用户并需要用户输入** 1. 在**应用程序策略**部分,选择所有适用的应用程序策略。可用策略在多个页面中列出。某些策略可能是由于之前的设置而预先选择的。 1. 在**自定义应用程序策略**部分,您可以 OIDs 向模板添加自定义策略,并指定应用程序策略扩展是否重要。 1. 在**加密设置**部分,根据此模板为证书选择以下类别的加密设置。 1. 在**组和权限**部分,您可以查看模板现有组和注册权限,也可以选择**添加新的组和权限**按钮来添加新的组和权限。该按钮将打开一个需要以下信息的表单: + **显示名称** + **安全标识符**(SID) + **注册**,选项为:允许 \$1 拒绝 \$1 未设置 + **自动注册**,选项为:允许 \$1 拒绝 \$1 未设置 1. 在**替代模板**部分中,您可以通知 Active Directory 当前模板取代在 AD 中创建的一个或多个模板。通过选择**添加 Active Directory 模板以取代**并指定取代模板的通用名称来应用取代模板。 1. 在**标签:可选**窗格中,您可以在 AD 资源上应用和移除元数据。标签是键值字符串对,其中键对于资源必须是唯一的,而值是可选的。该窗格在表中显示资源的任何现有标签。支持以下操作。 + 选择**管理标签**以打开**管理标签**页面。 + 选择“添加新标签”以创建标签。填写**键**字段和(可选)**值**字段。选择**保存更改**以应用标签。 + 选择标签旁边的**删除**按钮将其标记为删除,然后选择**保存更改**进行确认。 1. 提供所需信息并检查您的选择后,选择**创建模板**。这将打开**模板详细信息**,您可以在其中查看新模板的设置、编辑或删除模板、管理组和权限、管理被取代的模板、管理标签以及为证书持有者设置自动重新注册。 ------ #### [ API ] **使用 API 创建连接器模板** 使用 Active Directory AWS 私有 CA 连接器 API 中的[ CreateTemplate](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html)操作。 ------ #### [ CLI ] **要使用创建连接器模板 AWS CLI** 在 Activ [e Directory 的 AWS 私有 CA 连接器部分使用创建模板](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/create-template.html)命令。 AWS CLI ------