Prérequis Configuration AWS Private CA du connecteur pour AD AWS Private CA Connecteur de visualisation pour AD Confirmation de la AWS Private CA délivrance d'un certificat

Configurer le AWS Private CA connecteur pour AD pour AD Connector

Vous pouvez intégrer votre système autogéré Active Directory (AD) avec AWS Private Certificate Authority (CA) avec AD Connector pour émettre et gérer des certificats pour les utilisateurs, groupes et machines associés à votre domaine AD. AWS Private CA Connector for AD vous permet d'utiliser une solution de remplacement entièrement AWS Private CA gérée pour votre entreprise autogérée CAs sans qu'il soit nécessaire de déployer, de corriger ou de mettre à jour des agents locaux ou des serveurs proxy.

Vous pouvez configurer AWS Private CA l'intégration à votre annuaire via la console Directory Service, la console AWS Private CA Connector for AD ou en appelant le CreateTemplateAPI. Pour configurer l'intégration de Private CA via le AWS Private CA connecteur pour Active Directory console, voir AWS Private CA Connector pour Active Directory. Vous trouverez ci-dessous les étapes à suivre pour configurer cette intégration depuis la AWS Directory Service console.

Prérequis

Lorsque vous utilisez AD Connector, vous devez déléguer des autorisations supplémentaires au compte de service. Définissez la liste de contrôle d'accès (ACL) sur votre compte de service pour pouvoir effectuer les opérations suivantes.

Ajoutez et supprimez un nom principal de service (SPN) à lui-même.

Créez et mettez à jour les autorités de certification dans les conteneurs suivants :


#containers
CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,
CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,
CN=Public Key Services,CN=Services,CN=Configuration

Créez et mettez à jour un objet d'autorité de NTAuthCertificates certification comme dans l'exemple suivant. Si l'objet Autorité de NTAuthCertificates certification existe, vous devez lui déléguer des autorisations. Si l'objet n'existe pas, vous devez déléguer la possibilité de créer des objets enfants dans le conteneur Public Key Services.
```
#objects
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration
```

Note

Si vous utilisez AWS Managed Microsoft AD, les autorisations supplémentaires seront automatiquement déléguées lorsque vous autorisez le service AWS Private CA Connector for AD à accéder à votre annuaire.

Vous pouvez utiliser ce qui suit PowerShell script pour déléguer les autorisations supplémentaires et créer l'objet d'autorité de NTAuthCertifiates certification. Remplacez myconnectoraccount avec le nom du compte de service.


$AccountName = 'myconnectoraccount'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module -Name 'ActiveDirectory'
$RootDSE = Get-ADRootDSE
# Getting AD Connector service account Information
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
$AccountAclPath = $AccountProperties.DistinguishedName
# Getting ACL settings for AD Connector service account.
$AccountAcl = Get-ACL -Path "AD:\$AccountAclPath"
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AccountAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGuid, 'None'
$AccountAcl.AddAccessRule($AccountAccessRule)
Set-ACL -AclObject $AccountAcl -Path "AD:\$AccountAclPath"
# Add ACLs allowing AD Connector service account the ability to create certification authorities
[System.GUID]$CertificationAuthorityGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'certificationAuthority' } -Properties 'schemaIDGUID').schemaIDGUID
$CAAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'ReadProperty,WriteProperty,CreateChild,DeleteChild', 'Allow', $CertificationAuthorityGuid, 'None'
$PKSDN = "CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
$PKSACL = Get-ACL -Path "AD:\$PKSDN"
$PKSACL.AddAccessRule($CAAccessRule)
Set-ACL -AclObject $PKSACL -Path "AD:\$PKSDN"
$AIADN = "CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
$AIAACL = Get-ACL -Path "AD:\$AIADN"
$AIAACL.AddAccessRule($CAAccessRule)
Set-ACL -AclObject $AIAACL -Path "AD:\$AIADN"
$CertificationAuthoritiesDN = "CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
$CertificationAuthoritiesACL = Get-ACL -Path "AD:\$CertificationAuthoritiesDN"
$CertificationAuthoritiesACL.AddAccessRule($CAAccessRule)
Set-ACL -AclObject $CertificationAuthoritiesACL -Path "AD:\$CertificationAuthoritiesDN"
$NTAuthCertificatesDN = "CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
If (-Not (Test-Path -Path "AD:\$NTAuthCertificatesDN")) {
    New-ADObject -Name 'NTAuthCertificates' -Type 'certificationAuthority' -OtherAttributes @{certificateRevocationList=[byte[]]'00';authorityRevocationList=[byte[]]'00';cACertificate=[byte[]]'00'} -Path "CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
}
$NTAuthCertificatesACL = Get-ACL -Path "AD:\$NTAuthCertificatesDN"
$NullGuid = [System.GUID]'00000000-0000-0000-0000-000000000000'
$NTAuthAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'ReadProperty,WriteProperty', 'Allow', $NullGuid, 'None'
$NTAuthCertificatesACL.AddAccessRule($NTAuthAccessRule)
Set-ACL -AclObject $NTAuthCertificatesACL -Path "AD:\$NTAuthCertificatesDN"

Configuration AWS Private CA du connecteur pour AD

Connectez-vous à la AWS Directory Service console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/directoryservicev2/.
Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.
Sous l'onglet Réseau et sécurité, sous AWS Private CA Connecteur pour AD, choisissez Configurer le AWS Private CA connecteur pour AD. La page Créer un certificat CA privé pour Active Directoryapparaît. Suivez les étapes indiquées sur la console pour créer votre autorité de certification privée pour Active Directory connecteur pour vous inscrire auprès de votre autorité de certification privée. Pour de plus amples informations, veuillez consulter Creating a connector (français non garanti).
Après avoir créé votre connecteur, les étapes suivantes vous expliquent comment afficher les détails du AWS Private CA connecteur pour AD, y compris le statut du connecteur et le statut de l'autorité de certification privée associée.

AWS Private CA Connecteur de visualisation pour AD

Connectez-vous à la AWS Directory Service console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/directoryservicev2/.
Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.
Sous Réseau et sécurité, sous AWS Private CA Connecteur pour AD, vous pouvez afficher vos connecteurs d'autorité de certification privée et votre autorité de certification privée associée. Par défaut, les champs suivants s'affichent :
1. AWS Private CA ID du connecteur : identifiant unique d'un AWS Private CA connecteur. Cliquez dessus pour accéder à la page de détails de ce AWS Private CA connecteur.
2. AWS Private CA objet — Informations sur le nom distinctif de l'autorité de certification. Cliquez dessus pour accéder à la page de détails de cet élément AWS Private CA.
3. État — Sur la base d'une vérification de l'état du AWS Private CA connecteur et du AWS Private CA. Si les deux contrôles sont réussis, Actif s'affiche. Si l'une des vérifications échoue, la mention 1/2 checks failed (1 vérifications sur 2 a échoué) s'affiche. Si les deux vérifications échouent, la mention Failed (Échec) s'affiche. Pour plus d'informations sur un état d'échec, passez le pointeur de la souris sur le lien hypertexte pour savoir quelle vérification a échoué. Suivez les instructions de la console pour résoudre le problème.
4. Date de création — Le jour où le AWS Private CA connecteur a été créé.

Pour plus d'informations, veuillez consulter View connector details (français non garanti).

Confirmation de la AWS Private CA délivrance d'un certificat

Vous pouvez effectuer les étapes suivantes pour confirmer que des certificats AWS Private CA sont émis pour votre compte autogéré Active Directory.

Redémarrez vos contrôleurs de domaine sur site.
Consultez vos certificats avec Microsoft Management ConsolePour de plus amples informations, veuillez consulter . Microsoft documentation.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Mettre à jour les informations d'identification de votre compte de service AD Connector

Surveillance de votre annuaire