Requisitos previos - Amazon AppStream 2.0

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos

Realice los siguientes pasos antes de utilizar la autenticación basada en certificados.

  1. Configure una flota unida a un dominio y configure la versión 2.0. SAML Asegúrese de utilizar el username@domain.com userPrincipalName formato del _Subject. SAML NameID Para obtener más información, consulte Paso 5: Crear aserciones para la respuesta de SAML autenticación.

    nota

    No habilite el Inicio de sesión con tarjeta inteligente para Active Directory en su pila si desea utilizar la autenticación basada en certificados. Para obtener más información, consulte Tarjetas inteligentes.

  2. Utilice el agente AppStream 2.0 de la versión 10-13-2022 o posterior con su imagen. Para obtener más información, consulte Conserve su imagen de Amazon AppStream 2.0 Up-to-Date.

  3. Configura el ObjectSid atributo en tu afirmación. SAML Puede usar este atributo para realizar una asignación sólida con el usuario de Active Directory. La autenticación basada en certificados falla si el ObjectSid atributo no coincide con el identificador de seguridad de Active Directory (SID) del usuario especificado en el _Subject. SAML NameID Para obtener más información, consulte Paso 5: Crear aserciones para la respuesta de SAML autenticación. ObjectSidEs obligatorio para la autenticación basada en certificados después del 10 de septiembre de 2025. Para obtener más información, consulte KB5014754: Cambios en la autenticación basada en certificados en los controladores de dominio de Windows.

  4. Agregue el sts:TagSession permiso a la política de confianza de IAM roles que usa con la configuración 2.0. SAML Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS. Este permiso es necesario para usar la autenticación basada en certificados. Para obtener más información, consulte Paso 2: Crear un IAM rol de federación SAML 2.0.

  5. Cree una entidad de certificación (CA) AWS privada mediante una CA privada, si no tiene ninguna configurada con Active Directory. AWS Se requiere una CA privada para usar la autenticación basada en certificados. Para obtener más información, consulte Planning your AWS Private CA deployment. La siguiente configuración de CA AWS privada es común en muchos casos de uso de la autenticación basada en certificados:

    • Opciones de tipo de CA

      • Modo de uso de CA con certificados de corta duración: se recomienda si la CA solo emite certificados de usuario final para la autenticación basada en certificados.

      • Jerarquía de un solo nivel con una CA raíz: elija una CA subordinada para integrarla con una jerarquía de CA existente.

    • Opciones de algoritmos clave: 2048 RSA

    • Opciones de nombre distintivo por asunto: utilice las opciones más adecuadas para identificar esta CA en el almacén de entidades emisoras de certificados raíz de confianza de Active Directory.

    • Opciones de revocación de certificados: distribución CRL

      nota

      La autenticación basada en certificados requiere un punto de CRL distribución en línea al que se pueda acceder tanto desde la instancia AppStream 2.0 Fleet como desde el controlador de dominio. Esto requiere un acceso no autenticado al bucket de Amazon S3 configurado para CRL entradas de CA AWS privadas o una CloudFront distribución con acceso al bucket de Amazon S3 si bloquea el acceso público. Para obtener más información sobre estas opciones, consulte Planear una lista de revocación de certificados (). CRL

  6. Etiquete su CA privada con una clave euc-private-ca que permita designar la CA para su uso con la autenticación basada en certificados AppStream 2.0. Esta clave no requiere ningún valor. Para obtener más información, consulte Managing tags for your private CA. Para obtener más información sobre las políticas AWS administradas que se utilizan con la AppStream versión 2.0 para conceder permisos a los recursos de su empresa Cuenta de AWS, consulte. AWS Se requieren políticas administradas para acceder a los recursos de la AppStream versión 2.0

  7. La autenticación basada en certificados utiliza tarjetas inteligentes virtuales para iniciar sesión. Para obtener más información, consulte Guidelines for enabling smart card logon with third-party certification authorities. Siga estos pasos:

    1. Configure los controladores de dominio con un certificado de controlador de dominio para autenticar a los usuarios de tarjetas inteligentes. Si tiene una CA empresarial de Servicios de certificados de Active Directory configurada en su Active Directory, inscribirá automáticamente los controladores de dominio con certificados que permiten el inicio de sesión con tarjeta inteligente. Si no tiene los servicios de certificados de Active Directory, consulte Requisitos para los certificados de controlador de dominio de una entidad emisora de certificados de terceros. AWS recomienda a las autoridades certificadoras empresariales de Active Directory que administren automáticamente la inscripción de los certificados de controladores de dominio.

      nota

      Si utilizas Microsoft AD AWS administrado, puedes configurar los servicios de certificación en una EC2 instancia de Amazon que cumpla con los requisitos de certificados de controlador de dominio. Consulte Implementación de Active Directory en una nueva Amazon Virtual Private Cloud para ver, por ejemplo, las implementaciones de Microsoft AD AWS gestionado configuradas con Active Directory Certificate Services.

      Con los servicios AWS gestionados de Microsoft AD y Active Directory Certificate Services, también debe crear reglas de salida desde el grupo de VPC seguridad del controlador hasta la EC2 instancia de Amazon que ejecuta Certificate Services. Debe proporcionar al grupo de seguridad acceso al TCP puerto 135 y a los puertos 49152 a 65535 para habilitar la inscripción automática de certificados. La EC2 instancia de Amazon también debe permitir el acceso entrante a estos mismos puertos desde las instancias de dominio, incluidos los controladores de dominio. Para obtener más información sobre la ubicación del grupo de seguridad de Microsoft AD AWS administrado, consulte Configurar VPC las subredes y los grupos de seguridad.

    2. En la consola de CA AWS privada, o con el SDK certificado de CA privadaCLI, exporte el certificado de CA privada. Para obtener más información, consulte Exportación de un certificado privado.

    3. Publique la CA privada en Active Directory. Inicie sesión en un controlador de dominio o en una máquina asociada a un dominio. Copie el certificado de CA privado en cualquiera <path>\<file> y ejecute los siguientes comandos como administrador de dominio. También puede usar la política de grupo y la herramienta Microsoft PKI Health Tool (PKIView) para publicar la CA. Para obtener más información, consulte Configuration instructions.

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      Asegúrese de que los comandos se completen correctamente y, a continuación, elimine el archivo de certificado de CA privada. Según la configuración de replicación de Active Directory, la CA puede tardar varios minutos en publicar en los controladores de dominio y en las instancias de la flota AppStream 2.0.

      nota

      Active Directory debe distribuir la CA a las autoridades de certificación raíz de confianza y Enterprise NTAuth almacena automáticamente las instancias de la flota AppStream 2.0 cuando se unen al dominio.

En los sistemas operativos Windows, la distribución de la CA (autoridad de certificación) se realiza automáticamente. Sin embargo, para Rocky Linux y Red Hat Enterprise Linux, debe descargar los certificados de CA raíz de la CA utilizada en su AppStream 2.0 Directory Config. Si sus certificados de CA KDC raíz son diferentes, también debe descargarlos. Antes de utilizar la autenticación basada en certificados, es necesario importar estos certificados a una imagen o instantánea.

En la imagen, debe haber un archivo llamado /etc/sssd/pki/sssd_auth_ca_db.pem. Debe parecerse a lo siguiente:

-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
nota

Al copiar una imagen entre regiones o cuentas, o al volver a asociar una imagen a un nuevo Active Directory, será necesario volver a configurar este archivo con los certificados correspondientes en un generador de imágenes y volver a capturarlo antes de usarlo.

A continuación se indican las instrucciones para descargar los certificados de CA raíz:

  1. En el generador de imágenes, cree un archivo con el nombre /etc/sssd/pki/sssd_auth_ca_db.pem.

  2. Abra la consola AWS Private CA.

  3. Elija el certificado privado utilizado con su AppStream 2.0 Directory Config.

  4. Seleccione la pestaña Certificados de CA.

  5. Copie la cadena de certificados y el cuerpo del certificado a /etc/sssd/pki/sssd_auth_ca_db.pem en el generador de imágenes.

Si los certificados de CA raíz que utiliza KDCs son diferentes del certificado de CA raíz que utiliza la AppStream versión 2.0 de Directory Config, siga estos pasos de ejemplo para descargarlos:

  1. Conéctese a una instancia de Windows unida al mismo dominio que su generador de imágenes.

  2. Abra certlm.msc.

  3. En el panel izquierdo, seleccione Entidades de certificación raíz de confianza y, a continuación, seleccione Certificados.

  4. Para cada certificado de CA raíz, abra el menú contextual (clic con el botón secundario).

  5. Seleccione Todas las tareas, seleccione Exportar para abrir el asistente de exportación de certificados y, a continuación, seleccione Siguiente.

  6. Elija X.509 codificado en Base64 (. CER) y elija Siguiente.

  7. Seleccione Examinar, introduzca un nombre de archivo y seleccione Siguiente.

  8. Seleccione Finalizar.

  9. Abra el certificado exportado en un editor de texto.

  10. Copie el contenido del archivo a /etc/sssd/pki/sssd_auth_ca_db.pem en el generador de imágenes.