Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configurar AWS Private CA conector para AD para conector AD
Puedes integrar tu sistema autogestionado Active Directory (AD) con AWS Private Certificate Authority (CA) con AD Connector para emitir y administrar certificados para los usuarios, grupos y máquinas unidos al dominio de AD. AWS Private CA Connector for AD le permite utilizar un sustituto AWS Private CA directo y totalmente gestionado para su empresa autogestionada CAs sin necesidad de implementar, aplicar parches o actualizar agentes locales o servidores proxy.
Puede configurar la AWS Private CA integración con su directorio a través de la consola Directory Service, la consola AWS Private CA Connector for AD o llamando al CreateTemplateAPI. Para configurar la integración de una CA privada a través del AWS Private CA Conector para Active Directory consola, consulte AWS Private CA Connector para Active Directory. Consulte a continuación los pasos para configurar esta integración desde la AWS Directory Service consola.
Requisitos previos
Cuando usa Conector AD, debe delegar permisos adicionales a la cuenta de servicio. Configure la lista de control de acceso (ACL) en su cuenta de servicio para poder hacer lo siguiente.
-
Agregue y elimine un nombre principal de servicio (SPN) para sí mismo.
-
Cree y actualice las entidades de certificación en los siguientes contenedores:
#containers CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration, CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration, CN=Public Key Services,CN=Services,CN=Configuration -
Cree y actualice un objeto NTAuthCertificates de entidad emisora de certificados como en el siguiente ejemplo. Si el objeto de la entidad NTAuthCertificates emisora de certificados existe, debe delegar los permisos para él. Si el objeto no existe, debe delegar la capacidad de crear objetos secundarios en el contenedor de servicios de clave pública.
#objects CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration
nota
Si utiliza Microsoft AD AWS administrado, los permisos adicionales se delegarán automáticamente cuando autorice el servicio AWS Private CA Connector for AD con su directorio.
Puede usar lo siguiente PowerShell script para delegar los permisos adicionales y crear el objeto de la NTAuthCertifiates entidad emisora de certificados. Reemplazar myconnectoraccount con el nombre de la cuenta de servicio.
$AccountName = 'myconnectoraccount' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module -Name 'ActiveDirectory' $RootDSE = Get-ADRootDSE # Getting AD Connector service account Information $AccountProperties = Get-ADUser -Identity $AccountName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID $AccountAclPath = $AccountProperties.DistinguishedName # Getting ACL settings for AD Connector service account. $AccountAcl = Get-ACL -Path "AD:\$AccountAclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AccountAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGuid, 'None' $AccountAcl.AddAccessRule($AccountAccessRule) Set-ACL -AclObject $AccountAcl -Path "AD:\$AccountAclPath" # Add ACLs allowing AD Connector service account the ability to create certification authorities [System.GUID]$CertificationAuthorityGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'certificationAuthority' } -Properties 'schemaIDGUID').schemaIDGUID $CAAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'ReadProperty,WriteProperty,CreateChild,DeleteChild', 'Allow', $CertificationAuthorityGuid, 'None' $PKSDN = "CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" $PKSACL = Get-ACL -Path "AD:\$PKSDN" $PKSACL.AddAccessRule($CAAccessRule) Set-ACL -AclObject $PKSACL -Path "AD:\$PKSDN" $AIADN = "CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" $AIAACL = Get-ACL -Path "AD:\$AIADN" $AIAACL.AddAccessRule($CAAccessRule) Set-ACL -AclObject $AIAACL -Path "AD:\$AIADN" $CertificationAuthoritiesDN = "CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" $CertificationAuthoritiesACL = Get-ACL -Path "AD:\$CertificationAuthoritiesDN" $CertificationAuthoritiesACL.AddAccessRule($CAAccessRule) Set-ACL -AclObject $CertificationAuthoritiesACL -Path "AD:\$CertificationAuthoritiesDN" $NTAuthCertificatesDN = "CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" If (-Not (Test-Path -Path "AD:\$NTAuthCertificatesDN")) { New-ADObject -Name 'NTAuthCertificates' -Type 'certificationAuthority' -OtherAttributes @{certificateRevocationList=[byte[]]'00';authorityRevocationList=[byte[]]'00';cACertificate=[byte[]]'00'} -Path "CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" } $NTAuthCertificatesACL = Get-ACL -Path "AD:\$NTAuthCertificatesDN" $NullGuid = [System.GUID]'00000000-0000-0000-0000-000000000000' $NTAuthAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'ReadProperty,WriteProperty', 'Allow', $NullGuid, 'None' $NTAuthCertificatesACL.AddAccessRule($NTAuthAccessRule) Set-ACL -AclObject $NTAuthCertificatesACL -Path "AD:\$NTAuthCertificatesDN"
Configuración de AWS Private CA Connector para AD
Inicie sesión en AWS Management Console y abra la AWS Directory Service consola enhttps://console.aws.amazon.com/directoryservicev2/
. En la página Directories (Directorios), elija el ID del directorio.
En la pestaña Red y seguridad, en AWS Private CA Conector para AD, selecciona Configurar AWS Private CA conector para AD. La página Crear un certificado de CA privado para Active Directoryaparece. Siga los pasos de la consola para crear su CA privada para Active Directory conector para inscribirse en su CA privada. Para obtener más información, consulte Creación de un conector.
Tras crear el conector, en los siguientes pasos se explica cómo ver los detalles del AWS Private CA conector para AD, incluidos el estado del conector y el estado de la CA privada asociada.
Visualización AWS Private CA del conector para AD
Inicie sesión en AWS Management Console y abra la AWS Directory Service consola enhttps://console.aws.amazon.com/directoryservicev2/
. En la página Directories (Directorios), elija el ID del directorio.
En Redes y seguridad, en Conector para AD de AWS Private CA , puede ver sus tanto sus conectores de entidad de certificación (CA) privados como las entidades de certificación (CA) asociadas. De forma predeterminada, verá los siguientes campos:
AWS Private CA ID de conector: el identificador único de un AWS Private CA conector. Al hacer clic en él, se accede a la página de detalles de ese AWS Private CA conector.
AWS Private CA asunto: información sobre el nombre distintivo de la CA. Al hacer clic en él, se accede a la página de detalles de AWS Private CA.
Estado: basado en una verificación de estado del AWS Private CA conector y del AWS Private CA. Si se aprueban ambas comprobaciones, aparecerá Activo. Si una de las comprobaciones falla, aparece 1/2 comprobaciones con errores. Si ambas comprobaciones fallan, aparece Error. Para obtener más información sobre un estado fallido, coloque el puntero del ratón sobre el hipervínculo para saber qué comprobación tuvo errores. Siga las instrucciones de la consola para solucionarlo.
Fecha de creación: el día en que se creó el AWS Private CA conector.
Para obtener más información, consulte Ver detalles del conector.
Confirmando la AWS Private CA emisión de un certificado
Puede completar los siguientes pasos para confirmar que AWS Private CA está emitiendo certificados para su autogestión Active Directory.
Reinicie los controladores de dominio locales.
-
Vea sus certificados con Microsoft Management ConsolePara obtener más información, consulte . Microsoft documentación
.
