Memulai dengan AWS Private CA Connector for Active Directory - AWS Private Certificate Authority
Sebelum Anda mulaiLangkah 1: Buat konektorLangkah 2: Konfigurasikan kebijakan Microsoft Active DirectoryLangkah 3: Buat templateLangkah 4: Konfigurasikan izin grup Microsoft

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan AWS Private CA Connector for Active Directory

Dengan AWS Private CA Connector for Active Directory, Anda dapat mengeluarkan sertifikat dari CA pribadi ke objek Active Directory untuk otentikasi dan enkripsi. Saat Anda membuat konektor, AWS Private Certificate Authority buat titik akhir untuk Anda di VPC agar objek direktori Anda meminta sertifikat.

Untuk mengeluarkan sertifikat, Anda membuat konektor dan templat yang kompatibel dengan iklan untuk konektor. Saat membuat templat, Anda dapat mengatur izin pendaftaran untuk grup iklan Anda.

Sebelum Anda mulai

Tutorial berikut memandu Anda melalui proses pembuatan konektor untuk AD dan template konektor. Untuk mengikuti tutorial ini, Anda harus terlebih dahulu memenuhi prasyarat yang tercantum di bagian ini.

Langkah 1: Buat konektor

Untuk membuat konektor, lihatMembuat konektor untuk Active Directory.

Langkah 2: Konfigurasikan kebijakan Microsoft Active Directory

Konektor untuk AD tidak dapat melihat atau mengelola konfigurasi objek kebijakan grup (GPO) pelanggan. GPO mengontrol perutean permintaan AD ke pelanggan atau ke otentikasi AWS Private CA atau server penjual sertifikat lainnya. Konfigurasi GPO yang tidak valid dapat mengakibatkan permintaan Anda dirutekan secara tidak benar. Terserah pelanggan untuk mengkonfigurasi dan menguji Konektor untuk konfigurasi AD.

Kebijakan Grup dikaitkan dengan Konektor, dan Anda dapat memilih untuk membuat beberapa Konektor untuk satu AD. Terserah Anda untuk mengelola kontrol akses ke setiap konektor jika konfigurasi kebijakan grupnya berbeda.

Keamanan panggilan pesawat data tergantung pada Kerberos dan konfigurasi VPC Anda. Siapa pun yang memiliki akses ke VPC dapat melakukan panggilan pesawat data selama mereka diautentikasi ke AD yang sesuai. Ini ada di luar batas AWSAuth dan mengelola otorisasi dan otentikasi terserah Anda, pelanggan.

Di Active Directory, ikuti langkah-langkah di bawah ini untuk membuat GPO yang menunjuk ke URI yang dihasilkan saat Anda membuat konektor. Langkah ini diperlukan untuk menggunakan Connector for AD dari konsol atau baris perintah.

Konfigurasikan GPOs.

  1. Buka Server Manager di DC

  2. Buka Alat dan pilih Manajemen Kebijakan Grup di sudut kanan atas konsol.

  3. Pergi ke Hutan> Domain. Pilih nama domain Anda dan klik kanan pada domain Anda. Pilih Buat GPO di domain ini, dan tautkan di sini... dan masukkan PCA GPO untuk namanya.

  4. GPO yang baru dibuat sekarang akan terdaftar di bawah nama domain Anda.

  5. Pilih PCA GPO dan pilih Edit. Jika kotak dialog terbuka dengan pesan peringatan Ini adalah tautan dan perubahan itu akan disebarkan secara global, akui pesan untuk melanjutkan. Editor Manajemen Kebijakan Grup harus terbuka.

  6. Di Editor Manajemen Kebijakan Grup, buka Konfigurasi Komputer > Kebijakan > Pengaturan Windows> Pengaturan Keamanan > Kebijakan Kunci Publik (pilih folder).

  7. Pergi ke jenis objek dan pilih Certificate Services Client - Certificate Enrollment Policy

  8. Dalam opsi, ubah Model Konfigurasi ke Diaktifkan.

  9. Konfirmasikan bahwa Kebijakan Pendaftaran Direktori Aktif dicentang dan Diaktifkan. Pilih Tambahkan.

  10. Jendela Server Kebijakan Pendaftaran Sertifikat harus terbuka.

  11. Masukkan titik akhir server kebijakan pendaftaran sertifikat yang dihasilkan saat Anda membuat konektor di bidang URI kebijakan server Enter enrollment.

  12. Biarkan Jenis Otentikasi sebagai Windows terintegrasi.

  13. Pilih Validasi. Setelah validasi berhasil, pilih Tambah. Kotak dialog ditutup.

  14. Kembali ke Certificate Services Client - Certificate Enrollment Policy dan centang kotak di samping konektor yang baru dibuat untuk memastikan bahwa konektor adalah kebijakan pendaftaran default

  15. Pilih Kebijakan Pendaftaran Direktori Aktif dan pilih Hapus.

  16. Di kotak dialag konfirmasi, pilih Ya untuk menghapus otentikasi berbasis LDAP.

  17. Pilih Terapkan dan OK pada jendela Certificate Services Client > Certificate Enrollment Policy dan tutup.

  18. Buka folder Kebijakan Kunci Publik dan pilih Certificate Services Client - Auto-Enrollment.

  19. Ubah opsi Model Konfigurasi ke Diaktifkan.

  20. Konfirmasikan bahwa Perpanjang sertifikat kedaluwarsa dan Sertifikat Pembaruan keduanya diperiksa. Biarkan pengaturan lain apa adanya.

  21. Pilih Terapkan, lalu OK, dan tutup kotak dialog.

Konfigurasikan Kebijakan Kunci Publik untuk konfigurasi pengguna selanjutnya. Buka Konfigurasi Pengguna> Kebijakan > Pengaturan Windows> Pengaturan Keamanan > Kebijakan Kunci Publik. Ikuti prosedur yang diuraikan dari langkah 6 hingga langkah 21 untuk mengonfigurasi Kebijakan Kunci Publik untuk konfigurasi pengguna.

Setelah Anda selesai mengonfigurasi GPOs dan Kebijakan Kunci Publik, objek dalam domain akan meminta sertifikat dari AWS Private CA Connector for AD dan mendapatkan sertifikat yang dikeluarkan oleh AWS Private CA.

Langkah 3: Buat template

Untuk membuat template, lihatBuat template konektor.

Langkah 4: Konfigurasikan izin grup Microsoft

Untuk mengonfigurasi izin grup Microsoft, lihatKelola Konektor untuk entri kontrol akses template AD.