Voraussetzungen - AWS Directory Service
CA-Zertifikat-AnforderungenVoraussetzungen für ein Benutzer-ZertifikatProzess zur Überprüfung des ZertifikatswiderrufsWeitere Überlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen

Um die zertifikatsbasierte gegenseitige Transport Layer Security (mTLS) -Authentifizierung mithilfe von Smartcards für den WorkSpaces Amazon-Client zu aktivieren, benötigen Sie eine funktionsfähige Smartcard-Infrastruktur, die in Ihre selbstverwaltete Smartcard-Infrastruktur integriert ist. Active Directory Weitere Informationen zur Einrichtung der Smartcard-Authentifizierung bei Amazon WorkSpaces und Active Directory finden Sie im WorkSpaces Amazon-Administratorhandbuch.

Bevor Sie die Smartcard-Authentifizierung für aktivieren WorkSpaces, überprüfen Sie bitte die folgenden Überlegungen:

CA-Zertifikat-Anforderungen

AD Connector benötigt für die Smartcard-Authentifizierung ein Zertifikat der Zertifizierungsstelle (CA), das den Aussteller Ihrer Benutzerzertifikate darstellt. AD Connector ordnet CA-Zertifikate den Zertifikaten zu, die von Ihren Benutzern mit ihren Smartcards vorgelegt wurden. Beachten Sie die folgenden Zertifizierungsstellenzertifikat-Anforderungen:

  • Bevor Sie ein CA-Zertifikat registrieren können, müssen noch mehr als 90 Tage vor dem Ablaufdatum liegen.

  • CA-Zertifikate müssen im Privacy-Enhanced Mail () PEM -Format vorliegen. Wenn Sie CA-Zertifikate aus Active Directory exportieren, wählen Sie Base64-kodiertes X.509 (. CER) als Exportdateiformat.

  • Alle Root- und Zwischen-CA-Zertifikate, die von einer ausstellenden Zertifizierungsstelle zu Benutzerzertifikaten verkettet sind, müssen hochgeladen werden, damit die Smartcard-Authentifizierung erfolgreich ist.

  • Es können maximal 100 CA-Zertifikate pro AD-Connector-Verzeichnis gespeichert werden

  • AD Connector unterstützt den RSASSA PSS Signaturalgorithmus für CA-Zertifikate nicht.

  • Stellen Sie sicher, dass der Certificate Propagation Service auf Automatisch eingestellt ist und läuft.

Voraussetzungen für ein Benutzer-Zertifikat

Im Folgenden sind einige der Anforderungen für das Benutzerzertifikat aufgeführt:

  • Das Smartcard-Zertifikat des Benutzers hat den alternativen Betreffnamen (SAN) des Benutzers userPrincipalName (UPN).

  • Das Smartcard-Zertifikat des Benutzers verfügt über Enhanced Key Usage als Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2) -Clientauthentifizierung (1.3.6.1.5.5.7.3.2).

  • Die Informationen zum Online Certificate Status Protocol (OCSP) für das Smartcard-Zertifikat des Benutzers sollten Access Method=On-Line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) im Authority Information Access lauten.

Weitere Informationen zu AD Connector- und Smartcard-Authentifizierungsanforderungen finden Sie unter Anforderungen im Amazon WorkSpaces Administration Guide. Hilfe zur Behebung von WorkSpaces Amazon-Problemen, wie z. B. beim Einloggen WorkSpaces, Zurücksetzen des Passworts oder Herstellen einer Verbindung zu WorkSpaces, finden Sie unter Problembehandlung bei WorkSpaces Kundenproblemen im WorkSpaces Amazon-Benutzerhandbuch.

Prozess zur Überprüfung des Zertifikatswiderrufs

Um die Smartcard-Authentifizierung durchzuführen, muss AD Connector den Sperrstatus von Benutzerzertifikaten mithilfe des Online Certificate Status Protocol (OCSP) überprüfen. Um eine Zertifikatssperrüberprüfung durchführen zu können, URL muss ein OCSP Responder über das Internet zugänglich sein. Wenn ein DNS Name verwendet wird, URL muss ein OCSP Responder eine Top-Level-Domain verwenden, die sich in der Stammzonendatenbank der Internet Assigned Numbers Authority () IANA befindet.

Die Überprüfung des Widerrufs von AD-Connector-Zertifikaten erfolgt nach dem folgenden Verfahren:

  • AD Connector muss die Authority Information Access (AIA) -Erweiterung im Benutzerzertifikat für einen OCSP Responder überprüfenURL, dann verwendet AD Connector die, URL um zu überprüfen, ob ein Widerruf vorliegt.

  • Wenn AD Connector die in der AIA Benutzerzertifikatserweiterung URL gefundene Datei nicht auflösen oder keinen OCSP Responder URL im Benutzerzertifikat finden kann, verwendet AD Connector die bei der Registrierung des Stamm-CA-Zertifikats OCSP URL bereitgestellte Option.

    Wenn die URL im Benutzer enthaltene AIA Zertifikatserweiterung zwar aufgelöst wird, aber nicht reagiert, schlägt die Benutzerauthentifizierung fehl.

  • Wenn der bei der Registrierung des Stamm-CA-Zertifikats URL angegebene OCSP Responder das Problem nicht lösen kann, nicht reagiert oder kein OCSP Responder bereitgestellt URL wurde, schlägt die Benutzerauthentifizierung fehl.

  • Der OCSP Server muss 6960-konform sein. RFC Darüber hinaus muss der OCSP Server Anfragen unterstützen, die GET diese Methode für Anfragen verwenden, die insgesamt weniger als oder gleich 255 Byte sind.

Anmerkung

AD Connector benötigt eine HTTPURLfür den OCSP ResponderURL.

Weitere Überlegungen

Bevor Sie die Smartcard-Authentifizierung in AD Connector aktivieren, sollten Sie die folgenden Punkte berücksichtigen:

  • AD Connector verwendet die zertifikatsbasierte gegenseitige Transport Layer Security-Authentifizierung (gegenseitigTLS), um Benutzer mithilfe von hardware- oder softwarebasierten Smartcard-Zertifikaten bei Active Directory zu authentifizieren. Derzeit werden nur allgemeine Zugangskarten (CAC) und Karten zur persönlichen Identitätsprüfung (PIV) unterstützt. Andere Arten von hardware- oder softwarebasierten Smartcards funktionieren möglicherweise, wurden aber nicht für die Verwendung mit dem WorkSpaces Streaming-Protokoll getestet.

  • Die Smartcard-Authentifizierung ersetzt die Authentifizierung mit Benutzername und Passwort für WorkSpaces.

    Wenn Sie in Ihrem AD Connector Connector-Verzeichnis andere AWS Anwendungen mit aktivierter Smartcard-Authentifizierung konfiguriert haben, zeigen diese Anwendungen weiterhin den Eingabebildschirm für Benutzername und Passwort an.

  • Durch die Aktivierung der Smartcard-Authentifizierung wird die Länge der Benutzersitzung auf die maximale Gültigkeitsdauer für Kerberos-Servicetickets begrenzt. Sie können diese Einstellung mithilfe einer Gruppenrichtlinie konfigurieren. Sie ist standardmäßig auf 10 Stunden festgelegt. Weitere Informationen zu dieser Einstellung finden Sie in der Microsoft-Dokumentation.

  • Der unterstützte Kerberos-Verschlüsselungstyp des AD-Connector-Servicekontos sollte mit jedem der unterstützten Kerberos-Verschlüsselungstypen des Domain-Controllers übereinstimmen.