Prasyarat - AWS Directory Service
Persyaratan sertifikat CAPersyaratan sertifikat penggunaProses pengecekan pencabutan sertifikatPertimbangan lainnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat

Untuk mengaktifkan autentikasi Mutual Transport Layer Security (mTLS) berbasis sertifikat menggunakan kartu pintar untuk WorkSpaces klien Amazon, Anda memerlukan infrastruktur kartu pintar operasional yang terintegrasi dengan pengelolaan sendiri. Active Directory Untuk informasi selengkapnya tentang cara mengatur otentikasi kartu pintar dengan Amazon WorkSpaces danActive Directory, lihat Panduan WorkSpaces Administrasi Amazon.

Sebelum Anda mengaktifkan otentikasi kartu pintar untuk WorkSpaces, harap tinjau pertimbangan berikut:

Persyaratan sertifikat CA

AD Connector memerlukan sertifikat otoritas sertifikasi (CA), yang mewakili penerbit sertifikat pengguna Anda, untuk autentikasi kartu pintar. AD Connector mencocokkan sertifikat CA dengan sertifikat yang ditampilkan oleh pengguna Anda dengan kartu pintar mereka. Perhatikan persyaratan sertifikat CA berikut:

  • Sebelum Anda dapat mendaftarkan sertifikat CA, harus lebih dari 90 hari dari kedaluwarsa.

  • Sertifikat CA harus dalam format Privacy-Enhanced Mail ()PEM. Jika Anda mengekspor sertifikat CA dari dalam Active Directory, pilih Base64-encoded X.509 (. CER) sebagai format file ekspor.

  • Semua sertifikat CA root dan perantara yang terangkai dari CA penerbit sampai sertifikat pengguna harus diunggah agar autentikasi kartu pintar berhasil.

  • Maksimum 100 sertifikat CA dapat disimpan per direktori AD Connector

  • AD Connector tidak mendukung algoritma RSASSA - PSS tanda tangan untuk sertifikat CA.

  • Verifikasi Layanan Propagasi Sertifikat diatur ke Otomatis dan berjalan.

Persyaratan sertifikat pengguna

Berikut ini adalah beberapa persyaratan untuk sertifikat pengguna:

  • Sertifikat kartu pintar pengguna memiliki Nama Alternatif Subjek (SAN) dari pengguna userPrincipalName (UPN).

  • Sertifikat kartu pintar pengguna memiliki Penggunaan Kunci yang Ditingkatkan sebagai log-on kartu pintar (1.3.6.1.4.1.311.20.2.2) Otentikasi Klien (1.3.6.1.5.5.7.3.2).

  • Informasi Protokol Status Sertifikat Online (OCSP) untuk sertifikat kartu pintar pengguna harus berupa Metode Akses = Protokol Status Sertifikat On-line (1.3.6.1.5.5.7.48.1) di Akses Informasi Otoritas.

Untuk informasi selengkapnya tentang AD Connector dan persyaratan autentikasi kartu pintar, lihat Persyaratan di Panduan WorkSpaces Administrasi Amazon. Untuk membantu mengatasi WorkSpaces masalah Amazon, seperti masuk ke, mengatur ulang kata sandi WorkSpaces, atau menyambungkan ke WorkSpaces, lihat Memecahkan WorkSpaces masalah klien di Panduan Pengguna Amazon. WorkSpaces

Proses pengecekan pencabutan sertifikat

Untuk melakukan otentikasi kartu pintar, AD Connector harus memeriksa status pencabutan sertifikat pengguna menggunakan Online Certificate Status Protocol (). OCSP Untuk melakukan pemeriksaan pencabutan sertifikat, OCSP responden URL harus dapat diakses internet. Jika menggunakan DNS nama, OCSP responden URL harus menggunakan domain tingkat atas yang ditemukan di Internet Assigned Numbers Authority (IANA) Root Zone Database.

Pemeriksaan pencabutan sertifikat AD Connector menggunakan proses berikut ini:

  • AD Connector harus memeriksa ekstensi Akses Informasi Otoritas (AIA) di sertifikat pengguna untuk OCSP respondenURL, kemudian AD Connector menggunakan ekstensi URL untuk memeriksa pencabutan.

  • Jika AD Connector tidak dapat menyelesaikan yang URL ditemukan di AIA ekstensi sertifikat pengguna, atau menemukan OCSP responden URL di sertifikat pengguna, maka AD Connector menggunakan opsional yang OCSP URL disediakan selama pendaftaran sertifikat CA root.

    Jika URL dalam AIA ekstensi sertifikat pengguna menyelesaikan tetapi tidak responsif, maka otentikasi pengguna gagal.

  • Jika OCSP responden yang URL diberikan selama pendaftaran sertifikat CA root tidak dapat menyelesaikan, tidak responsif, atau tidak ada OCSP responden yang URL diberikan, otentikasi pengguna gagal.

  • OCSPServer harus sesuai dengan RFC6960. Selain itu, OCSP server harus mendukung permintaan menggunakan GET metode untuk permintaan yang kurang dari atau sama dengan 255 byte secara total.

catatan

AD Connector membutuhkan HTTPURLuntuk OCSP respondenURL.

Pertimbangan lainnya

Sebelum mengaktifkan autentikasi kartu pintar di AD Connector, pertimbangkan item berikut ini:

  • AD Connector menggunakan autentikasi Transport Layer Security berbasis sertifikat (mutualTLS) untuk mengautentikasi pengguna ke Active Directory menggunakan sertifikat kartu pintar berbasis perangkat keras atau perangkat lunak. Hanya kartu akses umum (CAC) dan kartu verifikasi identitas pribadi (PIV) yang didukung saat ini. Jenis lain dari perangkat keras atau kartu pintar berbasis perangkat lunak mungkin berfungsi tetapi belum diuji untuk digunakan dengan Protokol Streaming. WorkSpaces

  • Otentikasi kartu pintar menggantikan otentikasi nama pengguna dan kata sandi ke. WorkSpaces

    Jika Anda memiliki AWS aplikasi lain yang dikonfigurasi di direktori AD Connector Anda dengan otentikasi kartu pintar diaktifkan, aplikasi tersebut masih menampilkan layar input nama pengguna dan kata sandi.

  • Mengaktifkan autentikasi kartu pintar membatasi panjang sesi pengguna ke maksimum seumur hidup untuk tiket layanan Kerberos. Anda dapat mengkonfigurasi pengaturan ini menggunakan Kebijakan Grup, dan diatur ke 10 jam secara default. Untuk informasi lebih lanjut tentang pengaturan ini, lihat Dokumentasi Microsoft.

  • Jenis enkripsi Kerberos yang didukung oleh akun layanan AD Connector harus sesuai dengan setiap jenis enkripsi Kerberos yang didukung pengontrol domain.