Commencez à utiliser AWS Private CA Connector pour Active Directory - AWS Private Certificate Authority
Avant de commencerÉtape 1 : Création d'un connecteurÉtape 2 : Configuration des politiques Microsoft Active DirectoryÉtape 3 : Création d'un modèleÉtape 4 : Configuration des autorisations de groupe Microsoft

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Commencez à utiliser AWS Private CA Connector pour Active Directory

Avec AWS Private CA Connector for Active Directory, vous pouvez délivrer des certificats de votre autorité de certification privée à vos objets Active Directory à des fins d'authentification et de chiffrement. Lorsque vous créez un connecteur, vous AWS Private Certificate Authority créez un point de terminaison dans votre répertoire VPC pour que les objets de votre répertoire puissent demander des certificats.

Pour émettre des certificats, vous devez créer un connecteur et des modèles compatibles AD pour le connecteur. Lorsque vous créez un modèle, vous pouvez définir les autorisations d'inscription pour vos groupes AD.

Avant de commencer

Le didacticiel suivant vous guide tout au long du processus de création d'un connecteur pour AD et d'un modèle de connecteur. Pour suivre ce didacticiel, vous devez d'abord remplir les prérequis listés dans la section.

Étape 1 : Création d'un connecteur

Pour créer un connecteur, voirCréation d'un connecteur pour Active Directory.

Étape 2 : Configuration des politiques Microsoft Active Directory

Connector for AD n'est pas en mesure de visualiser ou de gérer la configuration de l'objet de politique de groupe (GPO) du client. GPOContrôle le routage des demandes AD vers le serveur du client Autorité de certification privée AWS ou vers d'autres serveurs d'authentification ou de distribution de certificats. Une GPO configuration non valide peut entraîner un routage incorrect de vos demandes. Il appartient aux clients de configurer et de tester la configuration du Connector for AD.

Les politiques de groupe sont associées à un connecteur, et vous pouvez choisir de créer plusieurs connecteurs pour un même AD. C'est à vous de gérer le contrôle d'accès à chaque connecteur si ses configurations de politique de groupe sont différentes.

La sécurité des appels du plan de données dépend de Kerberos et de votre VPC configuration. Toute personne ayant accès au VPC peut passer des appels sur le plan de données à condition d'être authentifiée auprès de l'AD correspondant. Cela existe en dehors des limites AWSAuth et la gestion des autorisations et de l'authentification dépend de vous, le client.

Dans Active Directory, suivez les étapes ci-dessous pour créer un GPO qui pointe vers celui URI généré lorsque vous avez créé un connecteur. Cette étape est requise pour utiliser Connector for AD à partir de la console ou de la ligne de commande.

ConfigurezGPOs.

  1. Ouvrez le gestionnaire de serveur sur le DC

  2. Accédez à Outils et choisissez Gestion des politiques de groupe dans le coin supérieur droit de la console.

  3. Accédez à Forêt > Domaines. Sélectionnez votre nom de domaine et cliquez avec le bouton droit de la souris sur votre domaine. Sélectionnez Créer un nom GPO dans ce domaine, liez-le ici... et entrez PCA GPO le nom.

  4. Le nouveau nom de domaine GPO sera désormais répertorié sous votre nom de domaine.

  5. Choisissez PCAGPOet sélectionnez Modifier. Si une boîte de dialogue s'ouvre avec le message d'alerte « Ceci est un lien » et que les modifications seront propagées dans le monde entier, accusez réception du message pour continuer. L'éditeur de gestion des politiques de groupe devrait s'ouvrir.

  6. Dans l'éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Politiques de clé publique (choisissez le dossier).

  7. Accédez au type d'objet et choisissez Certificate Services Client - Certificate Enrollment Policy

  8. Dans les options, remplacez le modèle de configuration par Activé.

  9. Vérifiez que la politique d'inscription Active Directory est cochée et activée. Choisissez Ajouter.

  10. La fenêtre du serveur de politique d'inscription aux certificats devrait s'ouvrir.

  11. Entrez le point de terminaison du serveur de politique d'inscription des certificats qui a été généré lorsque vous avez créé votre connecteur dans le URI champ Entrez la politique du serveur d'inscription.

  12. Laissez le type d'authentification Windows intégré.

  13. Choisissez Valider. Une fois la validation réussie, sélectionnez Ajouter. La boîte de dialogue se ferme.

  14. Revenez à Certificate Services Client - Politique d'inscription des certificats et cochez la case à côté du connecteur nouvellement créé pour vous assurer que le connecteur est la politique d'inscription par défaut

  15. Choisissez la politique d'inscription Active Directory, puis sélectionnez Supprimer.

  16. Dans la boîte de dialogue de confirmation, choisissez Oui pour supprimer l'authentification LDAP basée.

  17. Choisissez Appliquer et OK dans la fenêtre Client des services de certificats > Politique d'inscription des certificats et fermez-la.

  18. Accédez au dossier Public Key Policies et choisissez Certificate Services Client - Auto-Enrollment.

  19. Modifiez l'option Modèle de configuration sur Activé.

  20. Vérifiez que les cases Renouveler les certificats expirés et Mettre à jour les certificats sont toutes deux cochées. Laissez les autres paramètres tels quels.

  21. Choisissez Appliquer, puis OK, puis fermez la boîte de dialogue.

Configurez ensuite les politiques de clé publique pour la configuration utilisateur. Accédez à Configuration utilisateur > Politiques > Paramètres Windows > Paramètres de sécurité > Politiques relatives aux clés publiques. Suivez les procédures décrites aux étapes 6 à 21 pour configurer les politiques de clé publique pour la configuration utilisateur.

Une fois que vous avez terminé la configuration GPOs et les politiques relatives aux clés publiques, les objets du domaine demanderont des certificats à Autorité de certification privée AWS Connector for AD et recevront des certificats émis par Autorité de certification privée AWS.

Étape 3 : Création d'un modèle

Pour créer un modèle, voirCréation d'un modèle de connecteur.

Étape 4 : Configuration des autorisations de groupe Microsoft

Pour configurer les autorisations de groupe Microsoft, consultezGérer les entrées de contrôle d'accès du modèle Connector for AD.