設定適用於 AD 的 AWS Private CA Connector for AWS Managed Microsoft AD - AWS Directory Service
設定 AWS Private CA Connector for AD檢視適用於 AD 的 AWS Private CA Connector設定 AD 政策確認已 AWS Private CA 發行憑證

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定適用於 AD 的 AWS Private CA Connector for AWS Managed Microsoft AD

您可以將 AWS Managed Microsoft AD 與 AWS Private Certificate Authority (CA) 整合,為 Active Directory 網域控制站、加入網域的使用者、群組和機器發行和管理憑證。 AWS Private CA Connector for Active Directory 可讓您為自我管理的企業 CAs 使用完全受管 AWS Private CA 的插入式取代,而不需要部署、修補或更新本機代理程式或代理伺服器。

您可以透過 AWS Directory Service 主控台、 AWS Private CA Connector for Active Directory 主控台或呼叫 CreateTemplate API 來設定與目錄的 AWS Private CA 整合。若要透過 AWS Private CA Connector for Active Directory 主控台設定私有 CA 整合,請參閱建立連接器範本。請參閱下列步驟,了解如何從 AWS Directory Service 主控台設定此整合。

設定 AWS Private CA Connector for AD

為 Active Directory 建立私有 CA 連接器

  1. 登入 AWS Management Console 並在 開啟 AWS Directory Service 主控台https://console.aws.amazon.com/directoryservicev2/

  2. Directories (目錄) 頁面中,選擇目錄 ID。

  3. 應用程式管理索引標籤和AWS 應用程式與服務區段下,選擇 AWS Private CA Connector for AD

  4. 建立 Active Directory 的私有 CA 憑證頁面上,完成建立 Active Directory 連接器的私有 CA 的步驟。

如需詳細資訊,請參閱建立連接器

檢視適用於 AD 的 AWS Private CA Connector

檢視私有 CA 連接器詳細資訊

  1. 登入 AWS Management Console 並在 開啟 AWS Directory Service 主控台https://console.aws.amazon.com/directoryservicev2/

  2. Directories (目錄) 頁面中,選擇目錄 ID。

  3. 應用程式管理索引標籤和AWS 應用程式與服務區段下,檢視您的私有 CA 連接器和相關聯的私有 CA。顯示下列欄位:

    1. AWS Private CA 連接器 ID – AWS Private CA 連接器的唯一識別符。選擇它以檢視詳細資訊頁面。

    2. AWS Private CA subject – CA 辨別名稱的相關資訊。選擇它以檢視詳細資訊頁面。

    3. 狀態 – AWS Private CA 連接器的狀態檢查結果,以及 AWS Private CA:

      • 作用中 – 兩個檢查都通過

      • 1/2 檢查失敗 – 一個檢查失敗

      • 失敗 – 兩個檢查都失敗

      如需失敗的狀態詳細資訊,請將滑鼠游標暫留在超連結上,以查看哪些檢查失敗。

    4. DC Certificates 註冊狀態 – 網域控制站憑證狀態的狀態檢查:

      • 已啟用 – 已啟用憑證註冊

      • 已停用 – 憑證註冊已停用

    5. 建立日期 – AWS Private CA 連接器建立的時間。

如需詳細資訊,請參閱檢視連接器詳細資訊

下表顯示 AWS Managed Microsoft AD 的網域控制站憑證註冊的不同狀態 AWS Private CA。

DC 註冊狀態 描述 必要動作

已啟用

網域控制站憑證已成功註冊到您的目錄。

不需要採取行動。

失敗

目錄的網域控制站憑證註冊啟用或停用失敗。

如果您的啟用動作失敗,請關閉網域控制站憑證,然後再次開啟,以重試。如果您的停用動作失敗,請開啟網域控制站憑證,然後再次關閉,以重試。如果重試失敗,請聯絡 AWS Support。

Impaired (受損)

網域控制站與 AWS Private CA 端點通訊時發生網路連線問題。

檢查 AWS Private CA VPC 端點和 S3 儲存貯體政策,以允許與您的目錄進行網路連線。如需詳細資訊,請參閱疑難排解 AWS 私有憑證授權單位例外狀況訊息疑難排解 AWS Private CA 憑證撤銷問題

已停用

您目錄的網域控制站憑證註冊已成功關閉。

不需要採取行動。

停用

正在進行網域控制站憑證註冊停用。

不需要採取行動。

啟用

網域控制站憑證註冊啟用進行中。

不需要採取行動。

設定 AD 政策

AWS Private CA 必須設定 Connector for AD,以便 AWS Managed Microsoft AD 網域控制站和物件可以請求和接收憑證。設定您的群組政策物件 (GPO),以便 AWS Private CA 可以向 AWS Managed Microsoft AD 物件發行憑證。

設定網域控制站的 Active Directory 政策

開啟網域控制站的 Active Directory 政策

  1. 開啟網路與安全索引標籤。

  2. 選擇AWS Private CA 連接器

  3. 選擇與主體連結的連接器,該 AWS Private CA 主體會將網域控制站憑證發行到您的目錄。

  4. 選擇動作啟用網域控制站憑證

重要

在開啟網域控制站憑證之前設定有效的網域控制站範本,以避免更新延遲。

開啟網域控制站憑證註冊後,您目錄的網域控制站會從 AWS Private CA Connector for AD 請求和接收憑證。

若要變更網域控制器憑證 AWS Private CA 的發行,請先使用新的 AWS Private CA Connector for AD 將新的 AWS Private CA 連接至您的目錄。在新的 上開啟憑證註冊之前 AWS Private CA,請關閉現有憑證的憑證註冊:

關閉網域控制站憑證

  1. 開啟網路與安全索引標籤。

  2. 選擇AWS Private CA 連接器

  3. 選擇與主體連結的連接器,該 AWS Private CA 主體會將網域控制站憑證發行到您的目錄。

  4. 選擇動作停用網域控制站憑證

為加入網域的使用者、電腦和機器設定 Active Directory 政策

設定群組政策物件

  1. 連線至 AWS Managed Microsoft AD 管理員執行個體,然後從開始功能表開啟 Server Manager

  2. 工具下,選擇群組政策管理

  3. 樹系和網域下,尋找子網域組織單位 (OU) (例如,如果您遵循 中概述的程序,corp則為子網域組織單位建立 AWS Managed Microsoft AD),然後在子網域 OU 上按一下滑鼠右鍵。選擇在此網域中建立 GPO,並在此處連結,然後輸入 PCA GPO 做為名稱。選擇確定

  4. 新建立的 GPO 會顯示在子網域名稱後面。在 上按一下滑鼠右鍵PCA GPO,然後選擇編輯。如果對話方塊開啟並顯示提醒訊息,指出這是連結且變更已全域傳播,請選擇確定以繼續來確認訊息。群組政策管理編輯器視窗隨即開啟。

  5. 群組政策管理編輯器視窗中,移至電腦組態 > 政策 > Windows 設定 > 安全設定 > 公有金鑰政策 (選擇 資料夾)。

  6. 物件類型下,選擇憑證服務用戶端 - 憑證註冊政策

  7. 憑證服務用戶端 - 憑證註冊政策視窗中,將組態模型變更為已啟用

  8. 確認已選取 Active Directory 註冊政策已啟用。選擇新增

  9. Certificate Enrollment Policy Server 對話方塊隨即開啟。在輸入註冊伺服器政策 URI 欄位中輸入您在建立連接器時產生的憑證註冊政策伺服器端點。將身分驗證類型保持為 Windows 整合狀態。

  10. 選擇驗證。驗證成功後,選擇新增

  11. 返回 Certificate Services 用戶端 - 憑證註冊政策對話方塊,然後選取新建立的連接器旁的方塊,以確保連接器是預設的註冊政策。

  12. 選擇 Active Directory 註冊政策,然後選擇移除

  13. 在確認對話方塊中,選擇以刪除 LDAP 型身分驗證。

  14. 憑證服務用戶端 - 憑證註冊政策視窗中選擇套用,然後選擇確定。然後關閉視窗。

  15. 在公有金鑰政策資料夾的物件類型下,選擇憑證服務用戶端 - 自動註冊。

  16. 組態模型選項變更為已啟用

  17. 確認已選取續約過期憑證和更新憑證選項。讓其他設定保持不變。

  18. 選擇套用,然後選擇確定,然後關閉對話方塊。

接著,重複使用者組態 > 政策 > Windows 設定 > 安全設定 > 公有金鑰政策區段中的步驟 6-17,以設定使用者組態的公有金鑰政策

完成設定 GPOs和公有金鑰政策後,來自 AWS Private CA Connector for AD 的網域請求憑證中的物件,並接收 發行的憑證 AWS Private CA。

確認已 AWS Private CA 發行憑證

更新 AWS Private CA 為 AWS Managed Microsoft AD 發行憑證的程序最多可能需要 8 小時。

您可以執行下列任一作業:

  • 您可以等待這段時間。

  • 您可以重新啟動已設定為從 接收憑證的 AWS Managed Microsoft AD 網域加入機器 AWS Private CA。然後,您可以依照 Microsoft 文件中的程序,確認 AWS Private CA 已向 AWS Managed Microsoft AD 網域的成員發出憑證。

  • 您可以使用下列PowerShell命令來更新 AWS Managed Microsoft AD 的憑證:

    certutil -pulse