Configurer le AWS Private CA connecteur pour AD pour Microsoft AD AWS géré - AWS Directory Service
Configuration AWS Private CA du connecteur pour ADAWS Private CA Connecteur de visualisation pour ADConfiguration des politiques ADConfirmation de la AWS Private CA délivrance d'un certificat

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer le AWS Private CA connecteur pour AD pour Microsoft AD AWS géré

Vous pouvez intégrer votre AWS Managed Microsoft AD à AWS Private Certificate Authority (CA) pour émettre et gérer des certificats pour votre Active Directory utilisateurs, groupes et machines joints à un domaine. AWS Private CA Connecteur pour Active Directory vous permet d'utiliser une solution de remplacement entièrement AWS Private CA gérée pour votre entreprise autogérée CAs sans qu'il soit nécessaire de déployer, de corriger ou de mettre à jour des agents locaux ou des serveurs proxy.

Note

Inscription de certificats LDAPS côté serveur pour les contrôleurs de domaine AWS Microsoft AD gérés avec Connector pour AWS Private CA Active Directory n'est pas pris en charge pour le moment. Pour activer le protocole LDAPS côté serveur pour votre annuaire, consultez Comment activer le protocole LDAPS côté serveur pour votre AWS annuaire Microsoft AD géré.

Vous pouvez configurer AWS Private CA l'intégration avec votre annuaire via la AWS Directory Service console, le AWS Private CA Connector pour Active Directory console, ou en appelant l'CreateTemplateAPI. Pour configurer l'intégration de Private CA via le AWS Private CA connecteur pour Active Directory console, voir Création d'un modèle de connecteur. Consultez les étapes suivantes pour configurer cette intégration depuis la AWS Directory Service console.

Configuration AWS Private CA du connecteur pour AD

  1. Connectez-vous à la AWS Directory Service console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/directoryservicev2/.

  2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.

  3. Dans l'onglet Gestion des AWS applications et dans la section Applications et services, sélectionnez AWS Private CA Connector for AD. La page Créer un certificat CA privé pour Active Directoryapparaît. Suivez les étapes indiquées sur la console pour créer votre autorité de certification privée pour Active Directory connecteur pour vous inscrire auprès de votre autorité de certification privée. Pour de plus amples informations, veuillez consulter Creating a connector (français non garanti).

  4. Après avoir créé votre connecteur, les étapes suivantes vous expliquent comment afficher les détails du AWS Private CA connecteur pour AD, y compris le statut du connecteur et le statut de l'autorité de certification privée associée.

Vous allez ensuite configurer l'objet de stratégie de groupe pour votre Microsoft AD AWS géré afin que AWS Private CA Connector for AD puisse émettre des certificats.

AWS Private CA Connecteur de visualisation pour AD

  1. Connectez-vous à la AWS Directory Service console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/directoryservicev2/.

  2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.

  3. Dans l'onglet Gestion des AWS applications et dans la section Applications et services, vous pouvez afficher vos connecteurs d'autorité de certification privée et votre autorité de certification privée associée. Par défaut, les champs suivants s'affichent :

    1. AWS Private CA ID du connecteur : identifiant unique d'un AWS Private CA connecteur. Si vous le sélectionnez, vous accédez à la page de détails de ce AWS Private CA connecteur.

    2. AWS Private CA objet — Informations sur le nom distinctif de l'autorité de certification. Cliquez dessus pour accéder à la page de détails de cet élément AWS Private CA.

    3. État — Sur la base d'une vérification de l'état du AWS Private CA connecteur et du AWS Private CA. Si les deux contrôles sont réussis, Actif s'affiche. Si l'une des vérifications échoue, la mention 1/2 checks failed (1 vérifications sur 2 a échoué) s'affiche. Si les deux vérifications échouent, la mention Failed (Échec) s'affiche. Pour plus d'informations sur un état d'échec, passez le pointeur de la souris sur le lien hypertexte pour savoir quelle vérification a échoué. Suivez les instructions de la console pour résoudre le problème.

    4. Date de création — Le jour où le AWS Private CA connecteur a été créé.

Pour plus d'informations, veuillez consulter View connector details (français non garanti).

Configuration des politiques AD

CA Connector for AD doit être configuré pour que les objets Microsoft AD AWS gérés puissent demander et recevoir des certificats. Dans cette procédure, vous allez configurer votre objet de stratégie de groupe (GPO) afin de AWS Private CA pouvoir délivrer des certificats aux objets Microsoft AD AWS gérés.

  1. Connectez-vous à l'instance d'administration Microsoft AD AWS gérée et ouvrez le gestionnaire de serveur depuis le menu Démarrer.

  2. Sous Outils, sélectionnez Gestion des politiques de groupe.

  3. Sous Forêt et domaines, recherchez l'unité organisationnelle (UO) de votre sous-domaine (par exemple, corp ce serait votre unité organisationnelle de sous-domaine si vous avez suivi les procédures décrites dansCréation de votre AWS compte Microsoft AD géré) et cliquez avec le bouton droit sur l'unité organisationnelle de votre sous-domaine. Sélectionnez Créer un GPO dans ce domaine, puis liez-le ici... et entrez PCA GPO pour le nom. Sélectionnez OK.

  4. Le GPO nouvellement créé apparaîtra après le nom de votre sous-domaine. Cliquez avec le bouton droit sur PCA GPO et sélectionnez Modifier. Si une boîte de dialogue s'ouvre avec un message d'alerte indiquant , confirmez le message en sélectionnant OK pour continuer. La fenêtre de l'éditeur de gestion des politiques de groupe devrait s'ouvrir.

  5. Dans la fenêtre de l'éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Politiques de clé publique (choisissez le dossier).

  6. Sous Type d'objet, choisissez Certificate Services Client - Certificate Enrollment Policy.

  7. Dans la fenêtre Client des services de certificats - Politique d'inscription des certificats, remplacez le modèle de configuration par Activé.

  8. Confirmez que Active Directory La politique d'inscription est vérifiée et activée. Choisissez Ajouter.

  9. La boîte de dialogue du serveur de politique d'inscription aux certificats devrait s'ouvrir. Entrez le point de terminaison du serveur de politique d'inscription des certificats qui a été généré lorsque vous avez créé votre connecteur dans le champ Entrez l'URI de la politique du serveur d'inscription. Laissez le type d'authentification Windows intégré.

  10. Choisissez Valider. Une fois la validation réussie, sélectionnez Ajouter.

  11. Revenez à la boîte de dialogue Client des services de certificats - Politique d'inscription des certificats et cochez la case à côté du connecteur nouvellement créé pour vous assurer que le connecteur est la politique d'inscription par défaut.

  12. Choisissez la politique d'inscription Active Directory, puis sélectionnez Supprimer.

  13. Dans la boîte de dialogue de confirmation, choisissez Oui pour supprimer l'authentification basée sur LDAP.

  14. Choisissez Appliquer puis OK dans la fenêtre Client des services de certificats - Politique d'inscription des certificats. Fermez ensuite la fenêtre.

  15. Sous Type d'objet pour le dossier Public Key Policies, choisissez Certificate Services Client - Auto-Enrollment.

  16. Modifiez l'option Modèle de configuration sur Activé.

  17. Vérifiez que les options Renouveler les certificats expirés et Mettre à jour les certificats sont toutes deux cochées. Laissez les autres paramètres tels quels.

  18. Choisissez Appliquer, puis OK, puis fermez la boîte de dialogue.

Ensuite, vous allez configurer les politiques de clé publique pour la configuration utilisateur.

  • Accédez à Configuration utilisateur > Politiques > Paramètres Windows > Paramètres de sécurité > Politiques relatives aux clés publiques. Suivez les procédures précédentes de l'étape 6 à l'étape 21 pour configurer les politiques de clé publique pour la configuration utilisateur.

Une fois que vous avez terminé la configuration GPOs et les politiques relatives aux clés publiques, les objets du domaine demanderont des certificats à AWS Private CA Connector for AD et recevront des certificats émis par AWS Private CA.

Confirmation de la AWS Private CA délivrance d'un certificat

Le processus de mise AWS Private CA à jour pour émettre des certificats pour votre Microsoft AD AWS géré peut prendre jusqu'à 8 heures.

Vous pouvez effectuer l'une des actions suivantes :

  • Vous pouvez attendre ce laps de temps.

  • Vous pouvez redémarrer les machines jointes au domaine Microsoft AD AWS géré qui ont été configurées pour recevoir des certificats du AWS Private CA. Vous pouvez ensuite confirmer que des certificats ont AWS Private CA été émis aux membres de votre domaine Microsoft AD AWS géré en suivant la procédure décrite dans Microsoft documentation.

  • Vous pouvez utiliser ce qui suit Windows PowerShell commande pour mettre à jour les certificats de votre Microsoft AD AWS géré :

    certutil -pulse