Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Commencez à utiliser AWS CA privée Connector pour Active Directory
Avec AWS CA privée Connector for Active Directory, vous pouvez délivrer des certificats de votre autorité de certification privée à vos objets Active Directory à des fins d'authentification et de chiffrement. Lorsque vous créez un connecteur, vous AWS Autorité de certification privée créez un point de terminaison dans votre VPC pour que les objets de votre répertoire puissent demander des certificats.
Pour émettre des certificats, vous devez créer un connecteur et des modèles compatibles AD pour le connecteur. Lorsque vous créez un modèle, vous pouvez définir les autorisations d'inscription pour vos groupes AD.
**Topics**
+ [Avant de commencer](#connector-for-ad-before-you-begin)
+ [Étape 1 : Création d'un connecteur](#connector-for-ad-getting-started-step1)
+ [Étape 2 : Configuration des politiques Microsoft Active Directory](#connector-for-ad-getting-started-step2)
+ [Étape 3 : Création d'un modèle](#connector-for-ad-getting-started-step3)
+ [Étape 4 : Configuration des autorisations de groupe Microsoft](#connector-for-ad-getting-started-step4)
## Avant de commencer
Le didacticiel suivant vous guide tout au long du processus de création d'un connecteur pour AD et d'un modèle de connecteur. Pour suivre ce didacticiel, vous devez d'abord remplir les prérequis listés dans la section.
## Étape 1 : Création d'un connecteur
Pour créer un connecteur, voir[Création d'un connecteur pour Active Directory](create-connector-for-ad.md).
## Étape 2 : Configuration des politiques Microsoft Active Directory
Connector for AD n'est pas en mesure de visualiser ou de gérer la configuration de l'objet de politique de groupe (GPO) du client. Le GPO contrôle le routage des demandes AD vers le serveur du client Autorité de certification privée AWS ou vers d'autres serveurs d'authentification ou de distribution de certificats. Une configuration GPO non valide peut entraîner un routage incorrect de vos demandes. Il appartient aux clients de configurer et de tester la configuration du Connector for AD.
Les politiques de groupe sont associées à un connecteur, et vous pouvez choisir de créer plusieurs connecteurs pour un même AD. C'est à vous de gérer le contrôle d'accès à chaque connecteur si ses configurations de politique de groupe sont différentes.
La sécurité des appels du plan de données dépend de Kerberos et de la configuration de votre VPC. Toute personne ayant accès au VPC peut passer des appels sur le plan de données à condition d'être authentifiée auprès de l'AD correspondant. Cela existe en dehors des limites AWSAuth et la gestion des autorisations et de l'authentification dépend de vous, le client.
Lors de l'utilisation AWS Managed Microsoft AD, utilisez la Directory Service **enable-ca-enrollment-policy** commande pour configurer GPOs sur le contrôleur de domaine de l' AWS Managed Microsoft AD instance.
La commande suivante permet d'inscrire des contrôleurs de domaine :
```
$ aws ds enable-ca-enrollment-policy \
--pca-connector-arn {{MyPcaConnectorAdArn}} \
--directory-id {{MyDirectoryId}}
```
Lorsque vous utilisez AD Connector, suivez les étapes ci-dessous pour créer un GPO pointant vers l'URI généré lors de la création d'un connecteur. Cette étape est *requise* pour utiliser Connector for AD à partir de la console ou de la ligne de commande.
Configurez GPOs.
1. Ouvrez le **gestionnaire de serveur** sur le DC
1. Accédez à **Outils** et choisissez **Gestion des politiques de groupe** dans le coin supérieur droit de la console.
1. Accédez à **Forêt > Domaines**. Sélectionnez votre nom de domaine et cliquez avec le bouton droit de la souris sur votre domaine. Sélectionnez *Créer un GPO dans ce domaine, liez-le ici...* et entrez `PCA GPO` le nom.
1. Le GPO nouvellement créé sera désormais répertorié sous votre nom de domaine.
1. **Choisissez **PCA GPO**, puis sélectionnez Modifier.** Si une boîte de dialogue s'ouvre avec le message d'alerte « *Ceci est un lien » et que les modifications seront propagées dans le monde entier*, accusez réception du message pour continuer. L'**éditeur de gestion des politiques de groupe** devrait s'ouvrir.
1. Dans l'**éditeur de gestion des stratégies de groupe**, accédez à **Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Politiques de clé publique (choisissez le dossier)**.
1. Accédez au **type d'objet** et choisissez **Certificate Services Client - Certificate Enrollment Policy**
1. Dans les options, remplacez le **modèle de configuration** par **Activé**.
1. Vérifiez que la **politique d'inscription Active Directory** est **cochée** et **activée**. Choisissez **Ajouter**.
1. La fenêtre du **serveur de politique d'inscription aux certificats** devrait s'ouvrir.
1. Entrez le point de terminaison du serveur de politique d'inscription des certificats qui a été généré lorsque vous avez créé votre connecteur dans le champ **Entrez l'URI de la politique du serveur d'inscription**.
1. Laissez le **type d'authentification** **Windows intégré**.
1. Choisissez **Valider**. Une fois la validation réussie, sélectionnez **Ajouter**. La boîte de dialogue se ferme.
1. Revenez à **Certificate Services Client - Politique d'inscription des certificats** et cochez la case à côté du connecteur nouvellement créé pour vous assurer que le connecteur est la politique d'inscription par défaut
1. Choisissez la **politique d'inscription Active Directory**, puis sélectionnez **Supprimer**.
1. Dans la boîte de dialogue de confirmation, choisissez **Oui** pour supprimer l'authentification basée sur LDAP.
1. Choisissez **Appliquer** et **OK** dans la fenêtre **Client des services de certificats > Politique d'inscription** des certificats et fermez-la.
1. Accédez au dossier **Public Key Policies** et choisissez **Certificate Services Client - Auto-Enrollment**.
1. Modifiez l'option **Modèle de configuration** sur **Activé**.
1. Vérifiez que les cases **Renouveler les certificats expirés** et **Mettre à jour les certificats** sont toutes deux cochées. Laissez les autres paramètres tels quels.
1. Choisissez **Appliquer**, puis **OK**, puis fermez la boîte de dialogue.
Configurez ensuite les politiques de clé publique pour la configuration utilisateur. Accédez à **Configuration utilisateur > Politiques > Paramètres Windows > Paramètres de sécurité > Politiques relatives aux clés publiques**. Suivez les procédures décrites aux étapes 6 à 21 pour configurer les politiques de clé publique pour la configuration utilisateur.
Une fois que vous avez terminé la configuration GPOs et les politiques relatives aux clés publiques, les objets du domaine demanderont des certificats à Autorité de certification privée AWS Connector for AD et recevront des certificats émis par Autorité de certification privée AWS.
## Étape 3 : Création d'un modèle
Pour créer un modèle, voir[Création d'un modèle de connecteur](create-ad-template.md).
## Étape 4 : Configuration des autorisations de groupe Microsoft
Pour configurer les autorisations de groupe Microsoft, consultez[Gérer les entrées de contrôle d'accès du modèle Connector for AD](ad-groups-permissions.md).