本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Connector AWS 私有 CA for Active Directory 入門
<a name="connector-for-ad-getting-started"></a>

使用 AWS 私有 CA Connector for Active Directory，您可以從私有 CA 向 Active Directory 物件發行憑證，以進行身分驗證和加密。當您建立連接器時， 會在 VPC 中為您 AWS 私有憑證授權單位 建立端點，讓目錄物件請求憑證。

若要發行憑證，請為連接器建立連接器和 AD 相容範本。建立範本時，您可以設定 AD 群組的註冊許可。



**Topics**
+ [開始之前](#connector-for-ad-before-you-begin)
+ [步驟 1：建立連接器](#connector-for-ad-getting-started-step1)
+ [步驟 2：設定 Microsoft Active Directory 政策](#connector-for-ad-getting-started-step2)
+ [步驟 3：建立範本](#connector-for-ad-getting-started-step3)
+ [步驟 4：設定 Microsoft 群組許可](#connector-for-ad-getting-started-step4)

## 開始之前
<a name="connector-for-ad-before-you-begin"></a>

下列教學課程會引導您完成建立 AD 連接器和連接器範本的程序。若要遵循本教學課程，您必須先滿足 區段中列出的先決條件。

## 步驟 1：建立連接器
<a name="connector-for-ad-getting-started-step1"></a>

若要建立連接器，請參閱 [為 Active Directory 建立連接器](create-connector-for-ad.md)。

## 步驟 2：設定 Microsoft Active Directory 政策
<a name="connector-for-ad-getting-started-step2"></a>

Connector for AD 無法檢視或管理客戶的群組政策物件 (GPO) 組態。GPO 控制 AD 請求路由到客戶的 AWS 私有 CA 或其他身分驗證或憑證販賣伺服器。無效的 GPO 組態可能會導致您的請求路由不正確。客戶可以自行設定和測試 Connector for AD 組態。

群組政策與 Connector 相關聯，您可以選擇為單一 AD 建立多個 Connector。如果每個連接器的群組政策組態不同，您可以自行管理其存取控制。

資料平面呼叫的安全性取決於 Kerberos 和 VPC 組態。只要對對應的 AD 進行身分驗證，任何有權存取 VPC 的人都可以進行資料平面呼叫。這存在於 AWSAuth 的界限之外，而管理授權和身分驗證取決於您，也就是客戶。

 使用 時 AWS Managed Microsoft AD，請使用 Directory Service **enable-ca-enrollment-policy**命令在 AWS Managed Microsoft AD 執行個體的網域控制器上設定 GPOs。

下列命令可啟用註冊網域控制站：

```
$  aws ds enable-ca-enrollment-policy \
    --pca-connector-arn MyPcaConnectorAdArn \
    --directory-id MyDirectoryId
```

使用 AD Connector 時，請使用下列步驟來建立指向建立連接器時所產生 URI 的 GPO。從主控台或命令列使用 Connector for AD *需要*此步驟。

設定 GPOs。<a name="configure-gpo"></a>

1. 在 DC 上開啟 **Server Manager** 

1. 前往**工具**，然後選擇主控台右上角的**群組政策管理**。

1. 移至**樹系 > 網域**。選取您的網域名稱，並在您的網域上按一下滑鼠右鍵。選取*在此網域中建立 GPO，並將其連結到此處...*，然後輸入 `PCA GPO` 做為名稱。

1. 新建立的 GPO 現在將列在您的網域名稱下。

1. 選擇 **PCA GPO**，然後選擇**編輯**。如果對話方塊開啟並顯示提醒訊息 *這是連結，而該變更將全域傳播*，請確認訊息以繼續。**群組政策管理編輯器**應開啟。

1. 在**群組政策管理編輯器**中，前往**電腦組態 > 政策 > Windows 設定 > 安全設定 > 公有金鑰政策 （選擇 資料夾）**。

1. 前往**物件類型**，然後選擇**憑證服務用戶端 - 憑證註冊政策**

1. 在 選項中，將**組態模型**變更為**已啟用**。

1. 確認 **Active Directory 註冊政策**已**勾選**並**啟用**。選擇**新增**。

1. Certificate **Enrollment Policy Server** 視窗應該會開啟。

1. 在輸入註冊伺服器政策 **URI 欄位中輸入您在建立連接器時產生的憑證註冊政策伺服器**端點。

1. 將**身分驗證類型**保持為 **Windows 整合**狀態。

1. 選擇**驗證**。驗證成功後，選取**新增**。對話方塊會關閉。

1. 返回 **Certificate Services 用戶端 - 憑證註冊政策**，並勾選新建立連接器旁的核取方塊，以確保連接器是預設的註冊政策

1. 選擇 **Active Directory 註冊政策**，然後選取**移除**。

1. 在確認對話方塊中，選擇**是**以刪除 LDAP 型身分驗證。

1. 在**憑證服務用戶端 > 憑證註冊政策**視窗中選擇**套用**並**確定**，然後關閉它。

1. 移至**公有金鑰政策**資料夾，然後選擇**憑證服務用戶端 - 自動註冊**。

1. 將**組態模型**選項變更為**已啟用**。

1. 確認已檢查**續約過期****憑證和更新憑證**。讓其他設定保持不變。

1. 選擇**套用**，然後選擇**確定**，然後關閉對話方塊。

接下來設定使用者組態的公有金鑰政策。前往**使用者組態 > 政策 > Windows 設定 > 安全設定 > 公有金鑰政策**。請依照步驟 6 到步驟 21 概述的程序，設定使用者組態的公有金鑰政策。

完成設定 GPOs和公有金鑰政策後，網域中的物件會從 AWS 私有 CA Connector for AD 請求憑證，並取得 發行的憑證 AWS 私有 CA。

## 步驟 3：建立範本
<a name="connector-for-ad-getting-started-step3"></a>

若要建立範本，請參閱 [建立連接器範本](create-ad-template.md)。

## 步驟 4：設定 Microsoft 群組許可
<a name="connector-for-ad-getting-started-step4"></a>

若要設定 Microsoft 群組許可，請參閱 [Manage Connector for AD 範本存取控制項目](ad-groups-permissions.md)。