本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定適用於 AD 的 AWS 私有 CA Connector for AWS Managed Microsoft AD
您可以將 AWS Managed Microsoft AD 與 [AWS 私有憑證授權單位 (CA)](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html) 整合,為 Active Directory 網域控制站、加入網域的使用者、群組和機器發行和管理憑證。 AWS 私有 CA Connector for Active Directory 可讓您為自我管理的企業 CAs 使用完全受管 AWS 私有 CA 的插入式取代,而不需要部署、修補或更新本機代理程式或代理伺服器。
您可以透過 Directory Service 主控台、 AWS 私有 CA Connector for Active Directory 主控台或呼叫 [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html) API 來設定與目錄的 AWS 私有 CA 整合。若要透過 AWS 私有 CA Connector for Active Directory 主控台設定私有 CA 整合,請參閱[建立連接器範本](https://docs.aws.amazon.com/privateca/latest/userguide/create-ad-template.html)。請參閱下列步驟,了解如何從 Directory Service 主控台設定此整合。
## 設定 AWS 私有 CA Connector for AD
**為 Active Directory 建立私有 CA 連接器**
1. 登入 AWS 管理主控台 並開啟位於 的 Directory Service 主控台[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在**應用程式管理**索引標籤和**AWS 應用程式與服務**區段下,選擇 **AWS 私有 CA Connector for AD**。
1. 在**建立 Active Directory 的私有 CA 憑證**頁面上,完成建立 Active Directory 連接器的私有 CA 的步驟。
如需詳細資訊,請參閱[建立連接器](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html)。
## 檢視適用於 AD 的 AWS 私有 CA Connector
**檢視私有 CA 連接器詳細資訊**
1. 登入 AWS 管理主控台 並開啟位於 的 Directory Service 主控台[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在**應用程式管理**索引標籤和**AWS 應用程式與服務**區段下,檢視您的私有 CA 連接器和相關聯的私有 CA。顯示下列欄位:
1. **AWS 私有 CA 連接器 ID** – AWS 私有 CA 連接器的唯一識別符。選擇它以檢視詳細資訊頁面。
1. **AWS 私有 CA subject** – CA 辨別名稱的相關資訊。選擇它以檢視詳細資訊頁面。
1. **狀態** – AWS 私有 CA 連接器的狀態檢查結果,以及 AWS 私有 CA:
+ **作用中** – 兩個檢查都通過
+ **1/2 檢查失敗** – 一個檢查失敗
+ **失敗** – 兩個檢查都失敗
如需失敗的狀態詳細資訊,請將滑鼠游標暫留在超連結上,以查看哪些檢查失敗。
1. **DC Certificates 註冊狀態** – 網域控制站憑證狀態的狀態檢查:
+ **已啟用** – 已啟用憑證註冊
+ **已停用** – 憑證註冊已停用
1. **建立日期** – AWS 私有 CA 連接器建立的時間。
如需詳細資訊,請參閱[檢視連接器詳細資訊](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html)。
下表顯示 AWS Managed Microsoft AD 的網域控制站憑證註冊的不同狀態 AWS 私有 CA。
| DC 註冊狀態 | Description | 需執行的動作 |
| --- | --- | --- |
| 已啟用 | 網域控制站憑證已成功註冊到您的目錄。 | 不需要採取行動。 |
| 失敗 | 目錄的網域控制站憑證註冊啟用或停用失敗。 | 如果您的啟用動作失敗,請關閉網域控制器憑證,然後再次開啟,以重試。如果您的停用動作失敗,請開啟網域控制站憑證,然後再次關閉,以重試。如果重試失敗,請聯絡 AWS Support。 |
| Impaired (受損) | 網域控制站與 AWS 私有 CA 端點通訊時發生網路連線問題。 | 檢查 AWS 私有 CA VPC 端點和 S3 儲存貯體政策,以允許與您的目錄進行網路連線。如需詳細資訊,請參閱[疑難排解 AWS 私有憑證授權單位例外狀況訊息](https://docs.aws.amazon.com/privateca/latest/userguide/PCATsExceptions.html)和[疑難排解 AWS 私有 CA 憑證撤銷問題](https://docs.aws.amazon.com/privateca/latest/userguide/troubleshoot-certificate-revocation.html)。 |
| Disabled | 您目錄的網域控制站憑證註冊已成功關閉。 | 不需要採取行動。 |
| 停用 | 網域控制站憑證註冊停用進行中。 | 不需要採取行動。 |
| 啟用 | 網域控制站憑證註冊啟用進行中。 | 不需要採取行動。 |
## 設定 AD 政策
AWS 私有 CA 必須設定 Connector for AD,以便 AWS Managed Microsoft AD 網域控制站和物件可以請求和接收憑證。設定您的群組政策物件 ([GPO](https://learn.microsoft.com/previous-versions/windows/desktop/policy/group-policy-objects)),以便 AWS 私有 CA 可以向 AWS Managed Microsoft AD 物件發行憑證。
### 設定網域控制站的 Active Directory 政策
**開啟網域控制站的 Active Directory 政策**
1. 開啟**網路與安全**索引標籤。
1. 選擇**AWS 私有 CA 連接器**。
1. 選擇與主體連結的連接器,該 AWS 私有 CA 主體會將網域控制站憑證發行到您的目錄。
1. 選擇**動作**、**啟用網域控制站憑證**。
**重要**
在開啟網域控制站憑證之前設定有效的網域控制站範本,以避免更新延遲。
開啟網域控制站憑證註冊後,您目錄的網域控制站會從 AWS 私有 CA Connector for AD 請求和接收憑證。
若要變更網域控制器憑證 AWS 私有 CA 的發行,請先使用新的 AWS 私有 CA Connector for AD 將新的 AWS 私有 CA 連接至您的目錄。在新的 上開啟憑證註冊之前 AWS 私有 CA,請關閉現有憑證的憑證註冊:
**關閉網域控制站憑證**
1. 開啟**網路與安全**索引標籤。
1. 選擇**AWS 私有 CA 連接器**。
1. 選擇與主體連結的連接器,該 AWS 私有 CA 主體會將網域控制站憑證發行到您的目錄。
1. 選擇**動作**、**停用網域控制站憑證**。
### 為加入網域的使用者、電腦和機器設定 Active Directory 政策
**設定群組政策物件**
1. 連接至 AWS Managed Microsoft AD 管理員執行個體,然後從**開始**功能表開啟 [Server Manager](https://learn.microsoft.com/windows-server/administration/server-manager/server-manager)。
1. 在**工具**下,選擇**群組政策管理**。
1. 在**樹系和網域**下,尋找子網域組織單位 (OU) (例如,如果您遵循 中概述的程序,`corp`則為子網域組織單位[建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)),然後在子網域 OU 上按一下滑鼠右鍵。選擇**在此網域中建立 GPO,並在此處連結**,然後輸入 PCA GPO 做為名稱。選擇**確定**。
1. 新建立的 GPO 會顯示在子網域名稱後面。在 上按一下滑鼠右鍵`PCA GPO`,然後選擇**編輯**。如果對話方塊開啟並顯示提醒訊息,指出這是連結且變更是全域傳播的,請選擇**確定**以繼續來確認訊息。**群組政策管理編輯器**視窗隨即開啟。
1. 在**群組政策管理編輯器**視窗中,前往**電腦組態 > 政策 > Windows 設定 > 安全設定 > 公有金鑰政策** (選擇 資料夾)。
1. 在**物件類型**下,選擇**憑證服務用戶端 - 憑證註冊政策**。
1. 在**憑證服務用戶端 - 憑證註冊政策**視窗中,將**組態模型**變更為**已啟用**。
1. 確認已選取 **Active Directory 註冊政策**並**已啟用**。選擇**新增**。
1. Certificate **Enrollment Policy Server** 對話方塊隨即開啟。在輸入註冊伺服器政策 **URI 欄位中輸入您在建立連接器時產生的憑證註冊政策伺服器**端點。將**身分驗證類型**保持為 **Windows **整合狀態。
1. 選擇**驗證**。驗證成功後,選擇**新增**。
1. 返回 **Certificate Services 用戶端 - 憑證註冊政策**對話方塊,然後選取新建立連接器旁的方塊,以確保連接器是預設的註冊政策。
1. 選擇 **Active Directory 註冊政策**,然後選擇**移除**。
1. 在確認對話方塊中,選擇**是**以刪除 LDAP 型身分驗證。
1. 在**憑證服務用戶端 - 憑證註冊政策**視窗中,選擇**套用**,然後選擇**確定**。然後關閉視窗。
1. 在公有金鑰政策資料夾的**物件類型**下,選擇憑證服務用戶端 - 自動註冊。 ****
1. 將**組態模型**選項變更為**已啟用**。
1. 確認已選取**續約過期****憑證和更新憑證**選項。讓其他設定保持不變。
1. 選擇**套用**,然後選擇**確定**,然後關閉對話方塊。
接著,重複使用者組態 > 政策 > **Windows 設定 > 安全設定 > 公有金鑰政策區段中的步驟 6-17,以設定使用者組態的公有金鑰政策**。
完成設定 GPOs和公有金鑰政策後,來自 AWS 私有 CA Connector for AD 的網域請求憑證中的物件,並接收 發行的憑證 AWS 私有 CA。
## 確認已 AWS 私有 CA 發行憑證
更新 AWS 私有 CA 為 AWS Managed Microsoft AD 發行憑證的程序最多可能需要 8 小時。
您可以執行下列任一作業:
+ 您可以等待這段時間。
+ 您可以重新啟動已設定為從 接收憑證的 AWS Managed Microsoft AD 網域加入機器 AWS 私有 CA。然後,您可以遵循 [Microsoft 文件](https://learn.microsoft.com/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in)中的程序,確認 AWS 私有 CA 已向 AWS Managed Microsoft AD 網域的成員發出憑證。
+ 您可以使用下列PowerShell命令來更新 AWS Managed Microsoft AD 的憑證:
```
certutil -pulse
```