Configurar el AWS Private CA conector para AD para Microsoft AD AWS administrado - AWS Directory Service
Configuración AWS Private CA del conector para ADVisualización AWS Private CA del conector para ADConfiguración de políticas del ADConfirmando la AWS Private CA emisión de un certificado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar el AWS Private CA conector para AD para Microsoft AD AWS administrado

Puede integrar su Microsoft AD AWS administrado con AWS Private Certificate Authority (CA) para emitir y administrar certificados para su Active Directory el dominio unió usuarios, grupos y máquinas. AWS Private CA Conector para Active Directory le permite utilizar un sustituto directo y totalmente AWS Private CA gestionado para su empresa autogestionada CAs sin necesidad de implementar, aplicar parches o actualizar agentes locales o servidores proxy.

nota

Inscripción de certificados LDAPS del lado del servidor para controladores de dominio gestionados de AWS Microsoft AD con conector para AWS Private CA Active Directory no se admite en este momento. Para habilitar el LDAPS del lado del servidor para su directorio, consulte Cómo habilitar el LDAPS del lado del servidor para su AWS directorio administrado de Microsoft AD.

Puede configurar la AWS Private CA integración con su directorio a través de la consola, el conector para AWS Directory Service AWS Private CA Active Directory consola o llamando a la CreateTemplateAPI. Para configurar la integración de una CA privada a través del AWS Private CA conector para Active Directory consola, consulte Creación de una plantilla de conector. Consulte los siguientes pasos para configurar esta integración desde la AWS Directory Service consola.

Configuración AWS Private CA del conector para AD

  1. Inicie sesión en AWS Management Console y abra la AWS Directory Service consola enhttps://console.aws.amazon.com/directoryservicev2/.

  2. En la página Directorios, elija el ID del directorio.

  3. En la pestaña Administración de AWS aplicaciones y en la sección de aplicaciones y servicios, selecciona AWS Private CA Connector for AD. La página Crear un certificado de CA privado para Active Directoryaparece. Siga los pasos de la consola para crear su CA privada para Active Directory conector para inscribirse en su CA privada. Para obtener más información, consulte Creación de un conector.

  4. Tras crear el conector, en los siguientes pasos se explica cómo ver los detalles del AWS Private CA conector para AD, incluido el estado del conector y el estado de la CA privada asociada.

A continuación, configurará el objeto de política de grupo para su Microsoft AD AWS administrado para que AWS Private CA Connector for AD pueda emitir certificados.

Visualización AWS Private CA del conector para AD

  1. Inicie sesión en AWS Management Console y abra la AWS Directory Service consola enhttps://console.aws.amazon.com/directoryservicev2/.

  2. En la página Directorios, elija el ID del directorio.

  3. En la pestaña Administración de AWS aplicaciones y en la sección de aplicaciones y servicios, puede ver sus conectores de CA privada y la CA privada asociada. De forma predeterminada, verá los siguientes campos:

    1. AWS Private CA ID de conector: el identificador único de un AWS Private CA conector. Al seleccionarlo, se accede a la página de detalles de ese AWS Private CA conector.

    2. AWS Private CA asunto: información sobre el nombre distintivo de la CA. Al hacer clic en él, se accede a la página de detalles de AWS Private CA.

    3. Estado: basado en una verificación de estado del AWS Private CA conector y del AWS Private CA. Si se aprueban ambas comprobaciones, aparecerá Activo. Si una de las comprobaciones falla, aparece 1/2 comprobaciones con errores. Si ambas comprobaciones fallan, aparece Error. Para obtener más información sobre un estado fallido, coloque el puntero del ratón sobre el hipervínculo para saber qué comprobación tuvo errores. Siga las instrucciones de la consola para solucionarlo.

    4. Fecha de creación: el día en que se creó el AWS Private CA conector.

Para obtener más información, consulte Ver detalles del conector.

Configuración de políticas del AD

El CA Connector for AD debe configurarse para que los objetos AWS gestionados de Microsoft AD puedan solicitar y recibir certificados. En este procedimiento, configurará su objeto de política de grupo (GPO) para que AWS Private CA pueda emitir certificados a objetos de Microsoft AD AWS administrados.

  1. Conéctese a la instancia de administración de Microsoft AD AWS administrada y abra el Administrador del servidor desde el menú Inicio.

  2. En Herramientas, seleccione Administración de políticas de grupo.

  3. En Bosques y dominios, busque su unidad organizativa (OU) de subdominio (por ejemplo, corp sería su unidad organizativa de subdominio si siguió los procedimientos descritos en Creación de su Microsoft AD AWS administrado) y haga clic derecho sobre la OU de subdominio. Seleccione Crear un GPO en este dominio y vincúlelo aquí... e ingrese PCA GPO como nombre. Seleccione OK (Aceptar).

  4. El GPO recién creado aparecerá debajo del nombre de su subdominio. Haga clic con el botón derecho en PCA GPO y seleccione Editar. Si se abre un cuadro de diálogo con un mensaje de alerta que indica , confirme el mensaje y seleccione Aceptar para continuar. Se debería abrir la ventana del Editor de administración de políticas de grupo.

  5. En la ventana del Editor de administración de políticas de grupo, vaya a Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de clave pública (seleccione la carpeta).

  6. En Tipo de objeto, elija Cliente de servicios de certificación: política de inscripción de certificados.

  7. En la ventana Cliente de servicios de certificación: política de inscripción de certificados, cambie el modelo de configuración a Habilitado.

  8. Confirme que Active Directory La política de inscripción está marcada y habilitada. Elija Agregar.

  9. Se debería abrir el cuadro de diálogo Servidor de políticas de inscripción de certificados. Introduzca el punto de conexión del servidor de políticas de inscripción de certificados que se generó al crear el conector en el campo Introduzca el URI de la política del servidor de inscripciones. Deje el tipo de autenticación como Windows integrado.

  10. Elija Validar. Una vez que la validación se haya realizado correctamente, seleccione Agregar.

  11. Regrese al cuadro de diálogo Cliente de servicios de certificación: política de inscripción de certificados y marque la casilla junto al conector recién creado para asegurarse de que tenga la política de inscripción predeterminada.

  12. Elija la Política de inscripción de Active Directory y seleccione Eliminar.

  13. En el cuadro de diálogo de confirmación, elija para eliminar la autenticación basada en el LDAP.

  14. Seleccione Aplicar y Aceptar en la ventana Cliente de servicios de certificación: política de inscripción de certificados. Luego cierre la ventana.

  15. En Tipo de objeto para la carpeta Políticas de clave pública, seleccione Cliente de servicios de certificación: política de inscripción de certificados.

  16. Cambie el Modelo de configuración a Habilitado.

  17. Confirme que las opciones Renovar certificados expirados y Actualizar certificados estén ambas marcadas. Deje las otras opciones como están.

  18. Seleccione Aplicar, luego Aceptar y cierre el cuadro de diálogo.

A continuación, configure las políticas de claves públicas para la configuración del usuario.

  • Acceda a Configuración de usuario > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de claves públicas. Siga los procedimientos anteriores desde el paso 6 hasta el paso 21 para configurar las políticas de clave pública para la configuración del usuario.

Una vez que haya terminado de configurar GPOs las políticas de clave pública, los objetos del dominio solicitarán certificados a AWS Private CA Connector for AD y obtendrán los certificados emitidos por AWS Private CA.

Confirmando la AWS Private CA emisión de un certificado

El proceso de actualización AWS Private CA para emitir certificados para su Microsoft AD AWS administrado puede tardar hasta 8 horas.

Puede elegir una de las opciones siguientes:

  • Puede esperar este período de tiempo.

  • Puede reiniciar las máquinas unidas al dominio AWS administrado de Microsoft AD que se configuraron para recibir certificados del AWS Private CA. A continuación, puede confirmar que AWS Private CA ha emitido certificados a los miembros de su dominio de Microsoft AD AWS administrado siguiendo el procedimiento que se describe en Microsoft documentación.

  • Puede utilizar lo siguiente Windows PowerShell comando para actualizar los certificados de su Microsoft AD AWS administrado:

    certutil -pulse