Beginnen Sie mit AWS Private CA Connector für Active Directory - AWS Private Certificate Authority
Bevor Sie beginnenSchritt 1: Erstellen Sie einen KonnektorSchritt 2: Microsoft Active Directory-Richtlinien konfigurierenSchritt 3: Erstellen Sie eine VorlageSchritt 4: Microsoft-Gruppenberechtigungen konfigurieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beginnen Sie mit AWS Private CA Connector für Active Directory

Mit AWS Private CA Connector for Active Directory können Sie Zertifikate von Ihrer privaten CA für Ihre Active Directory-Objekte zur Authentifizierung und Verschlüsselung ausstellen. Wenn Sie einen Connector erstellen, AWS Private Certificate Authority erstellt er einen Endpunkt für Sie in Ihrer VPC, damit Ihre Verzeichnisobjekte Zertifikate anfordern können.

Um Zertifikate auszustellen, erstellen Sie einen Connector und AD-kompatible Vorlagen für den Connector. Wenn Sie eine Vorlage erstellen, können Sie Registrierungsberechtigungen für Ihre AD-Gruppen festlegen.

Bevor Sie beginnen

Das folgende Tutorial führt Sie durch den Prozess der Erstellung eines Connectors für AD und einer Connector-Vorlage. Um diesem Tutorial folgen zu können, müssen Sie zunächst die im Abschnitt aufgeführten Voraussetzungen erfüllen.

Schritt 1: Erstellen Sie einen Konnektor

Informationen zum Erstellen eines Connectors finden Sie unterEinen Connector für Active Directory erstellen.

Schritt 2: Microsoft Active Directory-Richtlinien konfigurieren

Connector for AD kann die Konfiguration des Gruppenrichtlinienobjekts (GPO) des Kunden nicht anzeigen oder verwalten. Das GPO steuert die Weiterleitung von AD-Anfragen an Kunden AWS Private CA oder an andere Authentifizierungs- oder Zertifikatsverkaufsserver. Eine ungültige GPO-Konfiguration kann dazu führen, dass Ihre Anfragen falsch weitergeleitet werden. Es liegt an den Kunden, den Connector für die AD-Konfiguration zu konfigurieren und zu testen.

Gruppenrichtlinien sind einem Connector zugeordnet, und Sie können mehrere Connectors für ein einzelnes AD erstellen. Es liegt an Ihnen, die Zugriffskontrolle für jeden Connector zu verwalten, falls die Gruppenrichtlinienkonfigurationen unterschiedlich sind.

Die Sicherheit der Aufrufe auf der Datenebene hängt von Kerberos und Ihrer VPC-Konfiguration ab. Jeder, der Zugriff auf die VPC hat, kann Datenebenenanrufe tätigen, sofern er beim entsprechenden AD authentifiziert ist. Dies geschieht außerhalb der Grenzen von AWSAuth und die Verwaltung der Autorisierung und Authentifizierung liegt bei Ihnen, dem Kunden.

Gehen Sie in Active Directory wie folgt vor, um ein Gruppenrichtlinienobjekt zu erstellen, das auf den URI verweist, der bei der Erstellung eines Connectors generiert wurde. Dieser Schritt ist erforderlich, um Connector for AD von der Konsole oder der Befehlszeile aus zu verwenden.

Konfigurieren. GPOs

  1. Öffnen Sie den Server-Manager auf dem DC

  2. Gehen Sie zu Tools und wählen Sie in der oberen rechten Ecke der Konsole Gruppenrichtlinienverwaltung aus.

  3. Gehen Sie zu Gesamtstruktur > Domänen. Wählen Sie Ihren Domainnamen aus und klicken Sie mit der rechten Maustaste auf Ihre Domain. Wählen Sie GPO in dieser Domain erstellen aus und verknüpfen Sie es hier... und geben Sie PCA GPO als Namen ein.

  4. Das neu erstellte Gruppenrichtlinienobjekt wird nun unter Ihrem Domainnamen aufgeführt.

  5. Wählen Sie PCA GPO und dann Bearbeiten aus. Wenn ein Dialogfeld mit der Meldung Dies ist ein Link und die Meldung, dass die Änderungen global verbreitet werden, geöffnet wird, bestätigen Sie die Meldung, um fortzufahren. Der Gruppenrichtlinienverwaltungs-Editor sollte geöffnet werden.

  6. Gehen Sie im Gruppenrichtlinienverwaltungs-Editor zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel (wählen Sie den Ordner aus).

  7. Gehen Sie zum Objekttyp und wählen Sie Certificate Services Client — Certificate Enrollment Policy

  8. Ändern Sie in den Optionen das Konfigurationsmodell auf Aktiviert.

  9. Vergewissern Sie sich, dass die Active Directory-Registrierungsrichtlinie aktiviert und aktiviert ist. Wählen Sie Hinzufügen aus.

  10. Das Fenster Certificate Enrollment Policy Server sollte geöffnet werden.

  11. Geben Sie den Endpunkt des Zertifikatsregistrierungsrichtlinienservers, der bei der Erstellung Ihres Connectors generiert wurde, in das Feld Registrierungsserver-Richtlinien-URI eingeben ein.

  12. Belassen Sie den Authentifizierungstyp auf Windows integrated.

  13. Wählen Sie „Validieren“. Wählen Sie nach erfolgreicher Überprüfung Hinzufügen aus. Das Dialogfenster wird geschlossen.

  14. Gehen Sie zurück zu Certificate Services Client — Certificate Enrollment Policy und aktivieren Sie das Kästchen neben dem neu erstellten Connector, um sicherzustellen, dass es sich bei dem Connector um die Standardregistrierungsrichtlinie handelt

  15. Wählen Sie Active Directory-Registrierungsrichtlinie und anschließend Entfernen aus.

  16. Wählen Sie im Bestätigungsdialogfeld Ja aus, um die LDAP-basierte Authentifizierung zu löschen.

  17. Wählen Sie im Fenster Certificate Services Client > Certificate Enrollment Policy die Optionen Anwenden und OK aus und schließen Sie es.

  18. Gehen Sie zum Ordner Public Key Policies und wählen Sie Certificate Services Client — Auto-Enrollment aus.

  19. Ändern Sie die Option „Konfigurationsmodell“ auf Aktiviert.

  20. Vergewissern Sie sich, dass die Optionen Abgelaufene Zertifikate verlängern und Zertifikate aktualisieren aktiviert sind. Lassen Sie die anderen Einstellungen unverändert.

  21. Wählen Sie Anwenden, dann OK und schließen Sie das Dialogfeld.

Konfigurieren Sie als Nächstes die Richtlinien für öffentliche Schlüssel für die Benutzerkonfiguration. Gehen Sie zu Benutzerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel. Folgen Sie den in Schritt 6 bis Schritt 21 beschriebenen Verfahren, um die Richtlinien für öffentliche Schlüssel für die Benutzerkonfiguration zu konfigurieren.

Sobald Sie die Konfiguration GPOs und die Public Key-Richtlinien abgeschlossen haben, fordern Objekte in der Domain Zertifikate von AWS Private CA Connector for AD an und erhalten Zertifikate, die von ausgestellt wurden AWS Private CA.

Schritt 3: Erstellen Sie eine Vorlage

Informationen zum Erstellen einer Vorlage finden Sie unterErstellen Sie eine Connector-Vorlage.

Schritt 4: Microsoft-Gruppenberechtigungen konfigurieren

Informationen zum Konfigurieren Microsoft Microsoft-Gruppenberechtigungen finden Sie unterZugriffskontrolleinträge für Connector für AD-Vorlagen verwalten.