本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Connector AWS Private CA for Active Directory 入門
使用 AWS Private CA Connector for Active Directory,您可以從私有 CA 發行憑證給 Active Directory 物件以進行身分驗證和加密。當您建立連接器時, 會在 VPC 中為您 AWS Private Certificate Authority 建立端點,讓目錄物件請求憑證。
若要發行憑證,請為連接器建立連接器和 AD 相容範本。建立範本時,您可以設定 AD 群組的註冊許可。
開始之前
下列教學課程會引導您完成建立 AD 連接器和連接器範本的程序。若要遵循本教學課程,您必須先滿足 區段中列出的先決條件。
步驟 1:建立連接器
若要建立連接器,請參閱 為 Active Directory 建立連接器。
步驟 2:設定 Microsoft Active Directory 政策
Connector for AD 無法檢視或管理客戶的群組政策物件 (GPO) 組態。GPO 控制 AD 請求路由到客戶的 AWS 私有 CA 或其他身分驗證或憑證販賣伺服器。無效的 GPO 組態可能會導致您的請求路由不正確。客戶可以自行設定和測試 Connector for AD 組態。
群組政策與 Connector 相關聯,您可以選擇為單一 AD 建立多個 Connector。如果每個連接器的群組政策組態不同,您可以自行管理其存取控制。
資料平面呼叫的安全性取決於 Kerberos 和 VPC 組態。只要對對應的 AD 進行身分驗證,任何有權存取 VPC 的人都可以進行資料平面呼叫。這存在於 AWSAuth 的界限之外,而管理授權和身分驗證取決於您,也就是客戶。
在 Active Directory 中,請依照下列步驟建立指向建立連接器時所產生 URI 的 GPO。從主控台或命令列使用 Connector for AD 需要此步驟。
設定 GPOs。
-
DC 上的 Open Server Manager
-
前往工具,然後選擇主控台右上角的群組政策管理。
-
移至樹系 > 網域。選取您的網域名稱,並在您的網域上按一下滑鼠右鍵。選取在此網域中建立 GPO,並將其連結到此處...,然後輸入
PCA GPO做為名稱。 -
新建立的 GPO 現在將列在您的網域名稱下。
-
選擇 PCA GPO,然後選擇編輯。如果對話方塊開啟並顯示提醒訊息 這是連結,而該變更將全域傳播,請確認訊息以繼續。群組政策管理編輯器應開啟。
-
在群組政策管理編輯器中,前往電腦組態 > 政策 > Windows 設定 > 安全設定 > 公有金鑰政策 (選擇 資料夾)。
-
前往物件類型,然後選擇憑證服務用戶端 - 憑證註冊政策
-
在 選項中,將組態模型變更為已啟用。
-
確認已勾選 Active Directory 註冊政策並已啟用。選擇新增。
-
Certificate Enrollment Policy Server 視窗應該會開啟。
-
在輸入註冊伺服器政策 URI 欄位中輸入您在建立連接器時產生的憑證註冊政策伺服器端點。
-
將身分驗證類型保持為 Windows 整合狀態。
-
選擇驗證。驗證成功後,選取新增。對話方塊會關閉。
-
返回 Certificate Services 用戶端 - 憑證註冊政策,並勾選新建立連接器旁的核取方塊,以確保連接器是預設註冊政策
-
選擇 Active Directory 註冊政策,然後選取移除。
-
在確認對話方塊中,選擇是以刪除 LDAP 型身分驗證。
-
在憑證服務用戶端 > 憑證註冊政策視窗中選擇套用並確定,然後關閉它。
-
前往公有金鑰政策資料夾,然後選擇憑證服務用戶端 - 自動註冊。
-
將組態模型選項變更為已啟用。
-
確認已檢查續約過期憑證和更新憑證。讓其他設定保持不變。
-
選擇套用,然後選擇確定,然後關閉對話方塊。
接下來設定使用者組態的公有金鑰政策。移至使用者組態 > 政策 > Windows 設定 > 安全設定 > 公有金鑰政策。請依照步驟 6 到步驟 21 概述的程序,設定使用者組態的公有金鑰政策。
完成設定 GPOs和公有金鑰政策後,網域中的物件會從 AWS 私有 CA Connector for AD 請求憑證,並取得 發行的憑證 AWS 私有 CA。
步驟 3:建立範本
若要建立範本,請參閱 建立連接器範本。
步驟 4:設定 Microsoft 群組許可
若要設定 Microsoft 群組許可,請參閱 Manage Connector for AD 範本存取控制項目。
