Mengatur AWS Private CA Konektor untuk AD untuk Microsoft AD yang AWS Dikelola - AWS Directory Service
Menyiapkan AWS Private CA Konektor untuk ADMelihat AWS Private CA Konektor untuk ADMengkonfigurasi Kebijakan ADMengkonfirmasi AWS Private CA mengeluarkan sertifikat

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengatur AWS Private CA Konektor untuk AD untuk Microsoft AD yang AWS Dikelola

Anda dapat mengintegrasikan Microsoft AD yang AWS Dikelola dengan AWS Private Certificate Authority (CA) untuk menerbitkan dan mengelola sertifikat Active Directory domain bergabung dengan pengguna, grup, dan mesin. AWS Private CA Konektor untuk Active Directory memungkinkan Anda menggunakan pengganti AWS Private CA drop-in yang dikelola sepenuhnya untuk perusahaan yang dikelola sendiri CAs tanpa perlu menyebarkan, menambal, atau memperbarui agen lokal atau server proxy.

catatan

Pendaftaran LDAPS sertifikat sisi server untuk pengontrol domain Microsoft AD AWS Terkelola dengan Konektor untuk AWS Private CA Active Directory tidak didukung saat ini. Untuk mengaktifkan sisi server LDAPS untuk direktori Anda, lihat Cara mengaktifkan sisi server untuk direktori Microsoft AD yang LDAPS Dikelola. AWS

Anda dapat mengatur AWS Private CA integrasi dengan direktori Anda melalui AWS Directory Service konsol, AWS Private CA Konektor untuk Active Directory konsol, atau dengan menelepon CreateTemplateAPI. Untuk mengatur integrasi CA Pribadi melalui AWS Private CA Konektor untuk Active Directory konsol, lihat Membuat template konektor. Lihat langkah-langkah berikut tentang cara mengatur integrasi ini dari AWS Directory Service konsol.

Menyiapkan AWS Private CA Konektor untuk AD

  1. Masuk ke AWS Management Console dan buka AWS Directory Service konsol dihttps://console.aws.amazon.com/directoryservicev2/.

  2. Pada halaman Direktori, pilih ID direktori Anda.

  3. Di bawah tab Jaringan & Keamanan, di bawah AWS Private CA Konektor untuk AD, pilih Siapkan AWS Private CA Konektor untuk AD. Halaman Buat sertifikat CA Pribadi untuk Active Directorymuncul. Ikuti langkah-langkah di konsol untuk membuat CA Pribadi Active Directory konektor untuk mendaftar dengan CA Pribadi Anda. Untuk informasi selengkapnya, lihat Membuat konektor.

  4. Setelah Anda membuat konektor, langkah-langkah berikut memandu Anda melalui cara melihat detail AWS Private CA Konektor untuk AD termasuk status konektor dan status Private CA terkait.

Selanjutnya, Anda akan mengonfigurasi objek kebijakan grup untuk Microsoft AD AWS Terkelola sehingga AWS Private CA Konektor untuk AD dapat mengeluarkan sertifikat.

Melihat AWS Private CA Konektor untuk AD

  1. Masuk ke AWS Management Console dan buka AWS Directory Service konsol dihttps://console.aws.amazon.com/directoryservicev2/.

  2. Pada halaman Direktori, pilih ID direktori Anda.

  3. Di bawah Jaringan & Keamanan, di bawah AWS Private CA Konektor untuk AD, Anda dapat melihat konektor CA Pribadi dan CA Pribadi terkait. Secara default, Anda melihat bidang berikut:

    1. AWS Private CA Connector ID — Pengenal unik untuk AWS Private CA konektor. Mengkliknya mengarah ke halaman detail AWS Private CA konektor itu.

    2. AWS Private CA subjek — Informasi tentang nama yang dibedakan untuk CA. Mengkliknya mengarah ke halaman detail itu AWS Private CA.

    3. Status - Berdasarkan pemeriksaan status untuk AWS Private CA Konektor dan AWS Private CA. Jika kedua pemeriksaan lulus, Active akan ditampilkan. Jika salah satu pemeriksaan gagal, 1/2 pemeriksaan gagal ditampilkan. Jika kedua pemeriksaan gagal, Gagal ditampilkan. Untuk informasi selengkapnya tentang status gagal, arahkan kursor ke hyperlink untuk mengetahui pemeriksaan mana yang gagal. Ikuti instruksi di konsol untuk memulihkan.

    4. Tanggal dibuat - Hari AWS Private CA Konektor dibuat.

Untuk informasi selengkapnya, lihat Lihat detail konektor.

Mengkonfigurasi Kebijakan AD

Konektor CA untuk AD perlu dikonfigurasi sehingga objek Microsoft AD yang AWS Dikelola dapat meminta dan menerima sertifikat. Dalam prosedur ini, Anda akan mengonfigurasi objek kebijakan grup (GPO) agar AWS Private CA dapat mengeluarkan sertifikat ke objek AD Microsoft yang AWS Dikelola.

  1. Connect ke instans admin Microsoft AD yang AWS dikelola dan buka Server Manager dari menu Start.

  2. Di bawah Alat, pilih Manajemen Kebijakan Grup.

  3. Di bawah Hutan dan Domain, temukan unit organisasi subdomain (OU) Anda (misalnya, corp akan menjadi unit organisasi subdomain Anda jika Anda mengikuti prosedur yang diuraikan dalamMembuat Microsoft AD yang AWS Dikelola) dan klik kanan pada OU subdomain Anda. Pilih Buat GPO di domain ini, dan tautkan di sini... dan masukkan PCA GPO untuk nama. Pilih OK.

  4. Yang baru dibuat GPO akan muncul mengikuti nama subdomain Anda. Klik kanan PCA GPO dan pilih Edit. Jika kotak dialog terbuka dengan pesan peringatan yang menyatakan , akui pesan dengan memilih OK untuk melanjutkan. Jendela Editor Manajemen Kebijakan Grup harus terbuka.

  5. Di jendela Editor Manajemen Kebijakan Grup, buka Konfigurasi Komputer> Kebijakan > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Kunci Publik (pilih folder).

  6. Di bawah Object Type, pilih Certificate Services Client - Certificate Enrollment Policy.

  7. Di jendela Certificate Services Client - Certificate Enrollment Policy, ubah Model Konfigurasi menjadi Diaktifkan.

  8. Konfirmasikan bahwa Active Directory Kebijakan Pendaftaran dicentang dan Diaktifkan. Pilih Tambahkan.

  9. Kotak dialog Server Kebijakan Pendaftaran Sertifikat harus terbuka. Masukkan titik akhir server kebijakan pendaftaran sertifikat yang dihasilkan saat Anda membuat konektor di bidang kebijakan Enter enrollment server. URI Biarkan Jenis Otentikasi sebagai Windows terintegrasi.

  10. Pilih Validasi. Setelah validasi berhasil, pilih Tambah.

  11. Kembali ke kotak dialog Certificate Services Client - Certificate Enrollment Policy dan centang kotak di samping konektor yang baru dibuat untuk memastikan bahwa konektor adalah kebijakan pendaftaran default.

  12. Pilih Kebijakan Pendaftaran Direktori Aktif dan pilih Hapus.

  13. Di kotak dialog konfirmasi, pilih Ya untuk menghapus otentikasi LDAP berbasis.

  14. Pilih Terapkan dan kemudian OK di jendela Certificate Services Client - Certificate Enrollment Policy. Kemudian tutup jendelanya.

  15. Di bawah Object Type for the Public Key Policies folder, pilih Certificate Services Client - Auto-Enrollment.

  16. Ubah opsi Model Konfigurasi ke Diaktifkan.

  17. Konfirmasikan bahwa Perpanjang sertifikat kedaluwarsa dan opsi Perbarui Sertifikat keduanya dicentang. Biarkan pengaturan lain apa adanya.

  18. Pilih Terapkan, lalu OK, dan tutup kotak dialog.

Selanjutnya, Anda akan mengkonfigurasi Kebijakan Kunci Publik untuk konfigurasi pengguna.

  • Buka Konfigurasi Pengguna> Kebijakan > Pengaturan Windows> Pengaturan Keamanan > Kebijakan Kunci Publik. Ikuti prosedur sebelumnya dari langkah 6 hingga langkah 21 untuk mengonfigurasi Kebijakan Kunci Publik untuk konfigurasi pengguna.

Setelah Anda selesai mengonfigurasi GPOs dan Kebijakan Kunci Publik, objek dalam domain akan meminta sertifikat dari AWS Private CA Connector for AD dan mendapatkan sertifikat yang dikeluarkan oleh AWS Private CA.

Mengkonfirmasi AWS Private CA mengeluarkan sertifikat

Proses untuk memperbarui AWS Private CA untuk menerbitkan sertifikat untuk Microsoft AD yang AWS Dikelola dapat memakan waktu hingga 8 jam.

Anda dapat melakukan salah satu dari yang berikut:

  • Anda bisa menunggu periode waktu ini.

  • Anda dapat memulai ulang mesin gabungan domain Microsoft AD AWS Terkelola yang dikonfigurasi untuk menerima sertifikat dari file AWS Private CA. Kemudian Anda dapat mengonfirmasi sertifikat yang AWS Private CA telah diterbitkan kepada anggota domain Microsoft AD AWS Terkelola Anda dengan mengikuti prosedur di Microsoft dokumentasi.

  • Anda dapat menggunakan yang berikut Windows PowerShell perintah untuk memperbarui sertifikat untuk Microsoft AD AWS Terkelola Anda:

    certutil -pulse