Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurare AWS Private CA Connector for AD per AD Connector
Puoi integrare il tuo sistema autogestito Active Directory (AD) con AWS Private Certificate Authority (CA) con AD Connector per emettere e gestire certificati per utenti, gruppi e macchine uniti al dominio AD. AWS Private CA Connector for AD ti consente di utilizzare un sostituto AWS Private CA drop-in completamente gestito per la tua azienda autogestita CAs senza la necessità di distribuire, applicare patch o aggiornare agenti locali o server proxy.
Puoi configurare AWS Private CA l'integrazione con la tua directory tramite la console Directory Service, la console AWS Private CA Connector for AD o chiamando il CreateTemplateAPI. Per configurare l'integrazione di Private CA tramite il AWS Private CA Connector per Active Directory console, vedi AWS Private CA Connector per Active Directory. Di seguito sono riportati i passaggi su come configurare questa integrazione dalla AWS Directory Service console.
Prerequisiti
Quando utilizzi AD Connector, devi delegare autorizzazioni aggiuntive all'account del servizio. Imposta l'elenco di controllo degli accessi (ACL) sul tuo account di servizio per avere la possibilità di eseguire le seguenti operazioni.
-
Aggiungi e rimuovi un Service Principal Name (SPN) a se stesso.
-
Creare e aggiornare le autorità di certificazione nei seguenti container:
#containers CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration, CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration, CN=Public Key Services,CN=Services,CN=Configuration -
Crea e aggiorna un oggetto NTAuthCertificates Certification Authority come nell'esempio seguente. Se l'oggetto NTAuthCertificates Certification Authority esiste, è necessario delegare le relative autorizzazioni. Se l'oggetto non esiste, è necessario delegare la possibilità di creare un oggetto figlio nel container Public Key Services.
#objects CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration
Nota
Se utilizzi AWS Managed Microsoft AD, le autorizzazioni aggiuntive verranno delegate automaticamente quando autorizzi il servizio AWS Private CA Connector for AD con la tua directory.
Puoi usare quanto segue PowerShell script per delegare le autorizzazioni aggiuntive e creare l'oggetto dell'autorità di NTAuthCertifiates certificazione. Replace (Sostituisci) myconnectoraccount con il nome dell'account del servizio.
$AccountName = 'myconnectoraccount' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module -Name 'ActiveDirectory' $RootDSE = Get-ADRootDSE # Getting AD Connector service account Information $AccountProperties = Get-ADUser -Identity $AccountName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID $AccountAclPath = $AccountProperties.DistinguishedName # Getting ACL settings for AD Connector service account. $AccountAcl = Get-ACL -Path "AD:\$AccountAclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AccountAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGuid, 'None' $AccountAcl.AddAccessRule($AccountAccessRule) Set-ACL -AclObject $AccountAcl -Path "AD:\$AccountAclPath" # Add ACLs allowing AD Connector service account the ability to create certification authorities [System.GUID]$CertificationAuthorityGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'certificationAuthority' } -Properties 'schemaIDGUID').schemaIDGUID $CAAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'ReadProperty,WriteProperty,CreateChild,DeleteChild', 'Allow', $CertificationAuthorityGuid, 'None' $PKSDN = "CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" $PKSACL = Get-ACL -Path "AD:\$PKSDN" $PKSACL.AddAccessRule($CAAccessRule) Set-ACL -AclObject $PKSACL -Path "AD:\$PKSDN" $AIADN = "CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" $AIAACL = Get-ACL -Path "AD:\$AIADN" $AIAACL.AddAccessRule($CAAccessRule) Set-ACL -AclObject $AIAACL -Path "AD:\$AIADN" $CertificationAuthoritiesDN = "CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" $CertificationAuthoritiesACL = Get-ACL -Path "AD:\$CertificationAuthoritiesDN" $CertificationAuthoritiesACL.AddAccessRule($CAAccessRule) Set-ACL -AclObject $CertificationAuthoritiesACL -Path "AD:\$CertificationAuthoritiesDN" $NTAuthCertificatesDN = "CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" If (-Not (Test-Path -Path "AD:\$NTAuthCertificatesDN")) { New-ADObject -Name 'NTAuthCertificates' -Type 'certificationAuthority' -OtherAttributes @{certificateRevocationList=[byte[]]'00';authorityRevocationList=[byte[]]'00';cACertificate=[byte[]]'00'} -Path "CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" } $NTAuthCertificatesACL = Get-ACL -Path "AD:\$NTAuthCertificatesDN" $NullGuid = [System.GUID]'00000000-0000-0000-0000-000000000000' $NTAuthAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'ReadProperty,WriteProperty', 'Allow', $NullGuid, 'None' $NTAuthCertificatesACL.AddAccessRule($NTAuthAccessRule) Set-ACL -AclObject $NTAuthCertificatesACL -Path "AD:\$NTAuthCertificatesDN"
Configurazione di AWS Private CA Connector for AD
Accedi a AWS Management Console e apri la AWS Directory Service console all'indirizzohttps://console.aws.amazon.com/directoryservicev2/
. Nella pagina Directories (Directory), scegli l'ID della directory.
Nella scheda Rete e sicurezza, in AWS Private CA Connettore per AD, scegli Configura AWS Private CA connettore per AD. La pagina Crea un certificato CA privato per Active Directoryappare. Segui i passaggi sulla console per creare la tua CA privata per Active Directory connettore per iscriverti alla tua CA privata. Per ulteriori informazioni, consulta Creazione di un connettore.
Dopo aver creato il connettore, i passaggi seguenti illustrano come visualizzare i dettagli del AWS Private CA Connector for AD, incluso lo stato del connettore e lo stato della CA privata associata.
Visualizzazione di AWS Private CA Connector for AD
Accedi a AWS Management Console e apri la AWS Directory Service console all'indirizzohttps://console.aws.amazon.com/directoryservicev2/
. Nella pagina Directories (Directory), scegli l'ID della directory.
In Rete e sicurezza, in AWS Private CA Connector per AD, puoi visualizzare i connettori della CA privata e la CA privata associata. Per impostazione predefinita, vengono visualizzati i seguenti campi:
AWS Private CA ID connettore: l'identificatore univoco di un AWS Private CA connettore. Facendo clic su di esso si accede alla pagina dei dettagli di quel AWS Private CA connettore.
AWS Private CA oggetto: informazioni sul nome distinto della CA. Facendo clic su di esso, si accede alla pagina dei dettagli di quella AWS Private CA.
Stato: basato su un controllo dello stato del AWS Private CA Connector e del AWS Private CA. Se entrambi i controlli vengono superati, viene visualizzato Attivo. Se uno dei controlli ha esito negativo, viene visualizzato il messaggio 1/2 dei controlli non riusciti. Se entrambi i controlli hanno esito negativo, viene visualizzato Non riuscito. Per ulteriori informazioni sullo stato non riuscito, passa il mouse sul collegamento ipertestuale per scoprire a quale controllo si riferisce. Segui le istruzioni indicate nella console per rimediare.
Data di creazione: il giorno in cui è stato creato il AWS Private CA connettore.
Per ulteriori informazioni, consulta Visualizzazione dei dettagli del connettore.
Conferma dell' AWS Private CA emissione di un certificato
Puoi completare i seguenti passaggi per confermare che si AWS Private CA tratta dell'emissione di certificati da parte dell'azienda autogestita Active Directory.
Riavvia i controller di dominio locali.
-
Visualizza i tuoi certificati con Microsoft Management ConsolePer ulteriori informazioni, consulta . Microsoft documentazione
.
