Configurazione di AWS Private CA Connector for AD per AWS Managed Microsoft AD - AWS Directory Service
Configurazione di AWS Private CA Connector for ADVisualizzazione di AWS Private CA Connector for ADConfigurazione delle politiche ADConferma dell'emissione di un AWS Private CA certificato

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di AWS Private CA Connector for AD per AWS Managed Microsoft AD

Puoi integrare AWS Managed Microsoft AD con AWS Private Certificate Authority (CA) per emettere e gestire certificati per Active Directory utenti, gruppi e computer aggiunti al dominio. AWS Private CA Connettore per Active Directory consente di utilizzare un sostituto AWS Private CA drop-in completamente gestito per l'azienda autogestita CAs senza la necessità di distribuire, applicare patch o aggiornare agenti locali o server proxy.

Nota

Registrazione di certificati LDAPS lato server per controller di dominio Microsoft AD AWS gestiti con Connector for AWS Private CA Active Directory al momento non è supportato. Per abilitare LDAPS lato server per la tua directory, vedi Come abilitare LDAPS lato server per la tua AWS directory gestita di Microsoft AD.

Puoi configurare AWS Private CA l'integrazione con la tua directory tramite la console, il Connector for AWS Directory Service AWS Private CA Active Directory console o chiamando l'CreateTemplateAPI. Per configurare l'integrazione di Private CA tramite il AWS Private CA Connector per Active Directory console, vedi Creazione di un modello di connettore. Consulta i seguenti passaggi su come configurare questa integrazione dalla AWS Directory Service console.

Configurazione di AWS Private CA Connector for AD

  1. Accedi a AWS Management Console e apri la AWS Directory Service console all'indirizzohttps://console.aws.amazon.com/directoryservicev2/.

  2. Nella pagina Directories (Directory), scegli l'ID della directory.

  3. Nella scheda Gestione delle AWS applicazioni e nella sezione App e servizi, scegli AWS Private CA Connector for AD. La pagina Crea un certificato CA privato per Active Directoryappare. Segui i passaggi sulla console per creare la tua CA privata per Active Directory connettore per iscriverti alla tua CA privata. Per ulteriori informazioni, consulta Creazione di un connettore.

  4. Dopo aver creato il connettore, i passaggi seguenti illustrano come visualizzare i dettagli del AWS Private CA Connector for AD, incluso lo stato del connettore e lo stato della CA privata associata.

Successivamente, configurerai l'oggetto dei criteri di gruppo per il tuo Microsoft AD AWS gestito in modo che AWS Private CA Connector for AD possa emettere certificati.

Visualizzazione di AWS Private CA Connector for AD

  1. Accedi a AWS Management Console e apri la AWS Directory Service console all'indirizzohttps://console.aws.amazon.com/directoryservicev2/.

  2. Nella pagina Directories (Directory), scegli l'ID della directory.

  3. Nella scheda Gestione delle AWS applicazioni e nella sezione app e servizi, puoi visualizzare i connettori CA privati e la CA privata associata. Per impostazione predefinita, vengono visualizzati i seguenti campi:

    1. AWS Private CA ID connettore: l'identificatore univoco di un AWS Private CA connettore. Selezionandolo si accede alla pagina dei dettagli di quel AWS Private CA connettore.

    2. AWS Private CA oggetto: informazioni sul nome distinto della CA. Facendo clic su di esso, si accede alla pagina dei dettagli di quella AWS Private CA.

    3. Stato: basato su un controllo dello stato del AWS Private CA Connector e del AWS Private CA. Se entrambi i controlli vengono superati, viene visualizzato Attivo. Se uno dei controlli ha esito negativo, viene visualizzato il messaggio 1/2 dei controlli non riusciti. Se entrambi i controlli hanno esito negativo, viene visualizzato Non riuscito. Per ulteriori informazioni sullo stato non riuscito, passa il mouse sul collegamento ipertestuale per scoprire a quale controllo si riferisce. Segui le istruzioni indicate nella console per rimediare.

    4. Data di creazione: il giorno in cui è stato creato il AWS Private CA connettore.

Per ulteriori informazioni, consulta Visualizzazione dei dettagli del connettore.

Configurazione delle politiche AD

CA Connector for AD deve essere configurato in modo che gli oggetti Microsoft AD AWS gestiti possano richiedere e ricevere certificati. In questa procedura, configurerai il tuo oggetto di policy di gruppo (GPO) in modo da AWS Private CA poter emettere certificati per oggetti Microsoft AD AWS gestiti.

  1. Connect all'istanza di amministrazione di Microsoft AD AWS Managed e apri Server Manager dal menu Start.

  2. In Strumenti, seleziona Gestione dei criteri di gruppo.

  3. In Foresta e domini, individua l'unità organizzativa (OU) del sottodominio (ad esempio, corp sarebbe l'unità organizzativa del sottodominio se seguissi le procedure descritte inCreazione del tuo AWS Managed Microsoft AD) e fai clic con il pulsante destro del mouse sull'unità organizzativa del sottodominio. Seleziona Crea un GPO in questo dominio e collegalo qui... e inserisci PCA GPO come nome. Seleziona OK.

  4. Il GPO appena creato verrà visualizzato dopo il nome del sottodominio. Fai clic con il pulsante destro del mouse su PCA GPO e seleziona Modifica. Se si apre una finestra di dialogo con un messaggio di avviso , confermate il messaggio selezionando OK per continuare. Dovrebbe aprirsi la finestra Group Policy Management Editor.

  5. Nella finestra Group Policy Management Editor, vai a Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Politiche a chiave pubblica (scegli la cartella).

  6. In Tipo di oggetto, scegli Certificate Services Client - Certificate Enrollment Policy.

  7. Nella finestra Certificate Services Client - Certificate Enrollment Policy, modificate il modello di configurazione su Abilitato.

  8. Confermate che Active Directory La politica di iscrizione è verificata e abilitata. Scegli Aggiungi.

  9. La finestra di dialogo Certificate Enrollment Policy Server dovrebbe aprirsi. Immettere l'endpoint del server della politica di iscrizione del certificato generato al momento della creazione del connettore nel campo Enter enrollment Server Policy URI. Lascia che il tipo di autenticazione sia integrato in Windows.

  10. Scegli Convalida. Una volta completata la convalida, seleziona Aggiungi.

  11. Torna alla finestra di dialogo Certificate Services Client - Certificate Enrollment Policy e seleziona la casella accanto al connettore appena creato per assicurarti che il connettore sia la politica di registrazione predefinita.

  12. Scegli Active Directory Enrollment Policy e seleziona Rimuovi.

  13. Nella finestra di dialogo di conferma, scegli per eliminare l'autenticazione basata su LDAP.

  14. Scegli Applica e quindi OK nella finestra Certificate Services Client - Certificate Enrollment Policy. Quindi chiudi la finestra.

  15. In Tipo di oggetto per la cartella Public Key Policies, scegli Certificate Services Client - Auto-Enrollment.

  16. Modificate l'opzione Modello di configurazione su Abilitato.

  17. Conferma che le opzioni Rinnova certificati scaduti e Aggiorna certificati siano entrambe selezionate. Lascia le altre impostazioni così come sono.

  18. Scegliete Applica, quindi OK e chiudete la finestra di dialogo.

Successivamente, configurerai le politiche a chiave pubblica per la configurazione degli utenti.

  • Vai a Configurazione utente > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Politiche a chiave pubblica. Segui le procedure precedenti dal passaggio 6 al passaggio 21 per configurare le politiche a chiave pubblica per la configurazione dell'utente.

Una volta terminata la configurazione GPOs e le politiche a chiave pubblica, gli oggetti del dominio richiederanno i certificati da AWS Private CA Connector for AD e otterranno i certificati emessi da AWS Private CA.

Conferma dell'emissione di un AWS Private CA certificato

Il processo di aggiornamento AWS Private CA per l'emissione di certificati per AWS Managed Microsoft AD può richiedere fino a 8 ore.

Puoi effettuare una delle seguenti operazioni:

  • Puoi aspettare questo periodo di tempo.

  • È possibile riavviare i computer collegati al dominio Microsoft AD AWS gestito che erano configurati per ricevere certificati da AWS Private CA. Puoi quindi confermare che i certificati sono AWS Private CA stati emessi per i membri del tuo dominio Microsoft AD AWS gestito seguendo la procedura riportata in Microsoft documentazione.

  • È possibile utilizzare quanto segue Windows PowerShell comando per aggiornare i certificati per il tuo AWS Managed Microsoft AD:

    certutil -pulse