AWS Private CA Connector für AD für AD Connector einrichten - AWS Directory Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Private CA Connector für AD für AD Connector einrichten

Sie können Ihren selbstverwalteten integrieren Active Directory (AD) mit AWS Private Certificate Authority (CA) mit AD Connector zur Ausstellung und Verwaltung von Zertifikaten für Benutzer, Gruppen und Maschinen, die Ihrer AD-Domäne beigetreten sind. AWS Private CA Connector for AD ermöglicht es Ihnen, einen vollständig verwalteten AWS Private CA Drop-In-Ersatz für Ihr selbstverwaltetes Unternehmen zu verwenden, CAs ohne lokale Agenten oder Proxyserver bereitstellen, patchen oder aktualisieren zu müssen.

Sie können die AWS Private CA Integration mit Ihrem Verzeichnis über die Directory Service Service-Konsole, die AWS Private CA Connector for AD-Konsole oder durch Aufrufen von einrichten CreateTemplateAPI. Um die Private CA-Integration über den AWS Private CA Connector einzurichten für Active Directory Konsole, siehe AWS Private CA Connector für Active Directory. Im Folgenden finden Sie Schritte zur Einrichtung dieser Integration von der AWS Directory Service Konsole aus.

Voraussetzungen

Wenn Sie AD Connector verwenden, müssen Sie zusätzliche Berechtigungen an das Servicekonto delegieren. Richten Sie die Zugriffskontrollliste (ACL) in Ihrem Dienstkonto ein, damit Sie Folgendes tun können.

  • Fügen Sie sich selbst einen Service Principal Name (SPN) hinzu und entfernen Sie ihn.

  • Erstellen und aktualisieren Sie Zertifizierungsstellen in den folgenden Containern:

    #containers CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration, CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration, CN=Public Key Services,CN=Services,CN=Configuration
  • Erstellen und aktualisieren Sie ein NTAuthCertificates Zertifizierungsstellen-Objekt wie im folgenden Beispiel. Wenn das NTAuthCertificates Zertifizierungsstellen-Objekt vorhanden ist, müssen Sie die entsprechenden Berechtigungen delegieren. Wenn das Objekt nicht existiert, müssen Sie die Fähigkeit, untergeordnete Objekte zu erstellen, an den Public-Key-Services-Container delegieren.

    #objects CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration
Anmerkung

Wenn Sie AWS Managed Microsoft AD verwenden, werden die zusätzlichen Berechtigungen automatisch delegiert, wenn Sie den AWS Private CA Connector for AD-Dienst mit Ihrem Verzeichnis autorisieren.

Sie können Folgendes verwenden PowerShell Skript, um die zusätzlichen Berechtigungen zu delegieren und das NTAuthCertifiates Zertifizierungsstellen-Objekt zu erstellen. Ersetzen myconnectoraccount mit dem Namen des Dienstkontos.

$AccountName = 'myconnectoraccount' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module -Name 'ActiveDirectory' $RootDSE = Get-ADRootDSE # Getting AD Connector service account Information $AccountProperties = Get-ADUser -Identity $AccountName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID $AccountAclPath = $AccountProperties.DistinguishedName # Getting ACL settings for AD Connector service account. $AccountAcl = Get-ACL -Path "AD:\$AccountAclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AccountAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGuid, 'None' $AccountAcl.AddAccessRule($AccountAccessRule) Set-ACL -AclObject $AccountAcl -Path "AD:\$AccountAclPath" # Add ACLs allowing AD Connector service account the ability to create certification authorities [System.GUID]$CertificationAuthorityGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'certificationAuthority' } -Properties 'schemaIDGUID').schemaIDGUID $CAAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'ReadProperty,WriteProperty,CreateChild,DeleteChild', 'Allow', $CertificationAuthorityGuid, 'None' $PKSDN = "CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" $PKSACL = Get-ACL -Path "AD:\$PKSDN" $PKSACL.AddAccessRule($CAAccessRule) Set-ACL -AclObject $PKSACL -Path "AD:\$PKSDN" $AIADN = "CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" $AIAACL = Get-ACL -Path "AD:\$AIADN" $AIAACL.AddAccessRule($CAAccessRule) Set-ACL -AclObject $AIAACL -Path "AD:\$AIADN" $CertificationAuthoritiesDN = "CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" $CertificationAuthoritiesACL = Get-ACL -Path "AD:\$CertificationAuthoritiesDN" $CertificationAuthoritiesACL.AddAccessRule($CAAccessRule) Set-ACL -AclObject $CertificationAuthoritiesACL -Path "AD:\$CertificationAuthoritiesDN" $NTAuthCertificatesDN = "CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" If (-Not (Test-Path -Path "AD:\$NTAuthCertificatesDN")) { New-ADObject -Name 'NTAuthCertificates' -Type 'certificationAuthority' -OtherAttributes @{certificateRevocationList=[byte[]]'00';authorityRevocationList=[byte[]]'00';cACertificate=[byte[]]'00'} -Path "CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" } $NTAuthCertificatesACL = Get-ACL -Path "AD:\$NTAuthCertificatesDN" $NullGuid = [System.GUID]'00000000-0000-0000-0000-000000000000' $NTAuthAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'ReadProperty,WriteProperty', 'Allow', $NullGuid, 'None' $NTAuthCertificatesACL.AddAccessRule($NTAuthAccessRule) Set-ACL -AclObject $NTAuthCertificatesACL -Path "AD:\$NTAuthCertificatesDN"

AWS Private CA Connector für AD einrichten

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Directory Service Konsole unterhttps://console.aws.amazon.com/directoryservicev2/.

  2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.

  3. Wählen Sie auf der Registerkarte Netzwerk und Sicherheit unter AWS Private CA Connector für AD die Option AWS Private CA Connector für AD einrichten aus. Die Seite Privates CA-Zertifikat erstellen für Active Directoryerscheint. Folgen Sie den Schritten auf der Konsole, um Ihre private CA für zu erstellen Active Directory Connector für die Registrierung bei Ihrer privaten CA. Weitere Informationen finden Sie unter Einen Konnektor erstellen.

  4. Nachdem Sie Ihren Connector erstellt haben, erfahren Sie in den folgenden Schritten, wie Sie Details zum AWS Private CA Connector für AD anzeigen können, einschließlich des Status des Connectors und des Status der zugehörigen privaten CA.

AWS Private CA Connector für AD anzeigen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Directory Service Konsole unterhttps://console.aws.amazon.com/directoryservicev2/.

  2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.

  3. Unter Netzwerk und Sicherheit können Sie unter AWS Private CA Connector für AD Ihre Private-CA-Konnektoren und zugehörige Private CA einsehen. Standardmäßig sehen Sie die folgenden Felder:

    1. AWS Private CA Connector-ID — Die eindeutige Kennung für einen AWS Private CA Connector. Wenn Sie darauf klicken, gelangen Sie zur Detailseite dieses AWS Private CA Connectors.

    2. AWS Private CA Betreff — Informationen über den eindeutigen Namen der CA. Wenn Sie darauf klicken, gelangen Sie zur Detailseite dieses AWS Private CA.

    3. Status — Basierend auf einer Statusüberprüfung für den AWS Private CA Connector und den AWS Private CA. Wenn beide Prüfungen erfolgreich sind, wird Aktiv angezeigt. Wenn eine der Prüfungen fehlschlägt, wird 1/2 Prüfungen fehlgeschlagen angezeigt. Wenn beide Prüfungen fehlschlagen, wird Fehlgeschlagen angezeigt. Weitere Informationen über den Status „fehlgeschlagen“ erhalten Sie, wenn Sie den Mauszeiger über den Hyperlink bewegen, um zu erfahren, welche Prüfung fehlgeschlagen ist. Folgen Sie den Anweisungen in der Konsole, um das Problem zu beheben.

    4. Erstellungsdatum — Der Tag, an dem der AWS Private CA Connector erstellt wurde.

Weitere Informationen finden Sie unter Konnektor-Details anzeigen.

Bestätigung der AWS Private CA Ausstellung eines Zertifikats

Sie können die folgenden Schritte ausführen, um zu bestätigen, AWS Private CA dass Zertifikate für Ihr selbst verwaltetes Unternehmen ausgestellt werden Active Directory.

  • Starten Sie Ihre lokalen Domänencontroller neu.

  • Sehen Sie sich Ihre Zertifikate an mit Microsoft Management ConsoleWeitere Informationen finden Sie unter . Microsoft Dokumentation.