前提条件 AWS Private CA Connector for AD のセットアップ AWS Private CA Connector for AD の表示証明書 AWS Private CA の発行の確認

AD AWS Private CA Connector for AD コネクタのセットアップ

セルフマネージド型 Active Directory (AD) と AD Connector を併用して AWS Private Certificate Authority 、AD ドメインに参加しているユーザー、グループ、マシンの証明書を発行および管理します。AD 用 AWS Private CA コネクタを使用すると、ローカルエージェントまたはプロキシサーバーをデプロイ、パッチ適用、更新CAsすることなく、セルフマネージドエンタープライズのフルマネージド AWS Private CA ドロップイン置換を使用できます。

Directory Service コンソール、 AWS Private CA Connector for AD コンソール、または CreateTemplate を呼び出すことで、ディレクトリと AWS Private CA の統合を設定できますAPI。Connector for を使用してプライベート CA AWS Private CA 統合を設定するには Active Directory コンソール、「のAWS Private CA コネクタ」を参照してください。Active Directory。 AWS Directory Service コンソールからこの統合を設定する手順については、以下を参照してください。

前提条件

AD Connector を使用するには、サービスアカウントに追加のアクセス許可を委任する必要があります。サービスアカウントのアクセスコントロールリスト (ACL) を設定して、以下を実行できるようにします。

サービスプリンシパル名 (SPN) をそれ自体に追加および削除します。

以下のコンテナで証明機関を作成および更新します。


#containers
CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,
CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,
CN=Public Key Services,CN=Services,CN=Configuration

次の例のようにNTAuthCertificates、認証機関オブジェクトを作成して更新します。NTAuthCertificates 認証機関オブジェクトが存在する場合は、そのオブジェクトのアクセス許可を委任する必要があります。オブジェクトが存在しない場合は、Public Key Services コンテナに子オブジェクトを作成する権限を委任する必要があります。
```
#objects
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration
```

注記

AWS Managed Microsoft AD を使用している場合は、ディレクトリで AWS Private CA Connector for AD サービスを認可すると追加のアクセス許可が自動的に委任されます。

以下を使用できます。PowerShell スクリプトを使用して追加のアクセス許可を委任し、NTAuthCertifiates認証機関オブジェクトを作成します。置換 myconnectoraccount サービスアカウント名。


$AccountName = 'myconnectoraccount'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module -Name 'ActiveDirectory'
$RootDSE = Get-ADRootDSE
# Getting AD Connector service account Information
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
$AccountAclPath = $AccountProperties.DistinguishedName
# Getting ACL settings for AD Connector service account.
$AccountAcl = Get-ACL -Path "AD:\$AccountAclPath"
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AccountAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGuid, 'None'
$AccountAcl.AddAccessRule($AccountAccessRule)
Set-ACL -AclObject $AccountAcl -Path "AD:\$AccountAclPath"
# Add ACLs allowing AD Connector service account the ability to create certification authorities
[System.GUID]$CertificationAuthorityGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'certificationAuthority' } -Properties 'schemaIDGUID').schemaIDGUID
$CAAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'ReadProperty,WriteProperty,CreateChild,DeleteChild', 'Allow', $CertificationAuthorityGuid, 'None'
$PKSDN = "CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
$PKSACL = Get-ACL -Path "AD:\$PKSDN"
$PKSACL.AddAccessRule($CAAccessRule)
Set-ACL -AclObject $PKSACL -Path "AD:\$PKSDN"
$AIADN = "CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
$AIAACL = Get-ACL -Path "AD:\$AIADN"
$AIAACL.AddAccessRule($CAAccessRule)
Set-ACL -AclObject $AIAACL -Path "AD:\$AIADN"
$CertificationAuthoritiesDN = "CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
$CertificationAuthoritiesACL = Get-ACL -Path "AD:\$CertificationAuthoritiesDN"
$CertificationAuthoritiesACL.AddAccessRule($CAAccessRule)
Set-ACL -AclObject $CertificationAuthoritiesACL -Path "AD:\$CertificationAuthoritiesDN"
$NTAuthCertificatesDN = "CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
If (-Not (Test-Path -Path "AD:\$NTAuthCertificatesDN")) {
    New-ADObject -Name 'NTAuthCertificates' -Type 'certificationAuthority' -OtherAttributes @{certificateRevocationList=[byte[]]'00';authorityRevocationList=[byte[]]'00';cACertificate=[byte[]]'00'} -Path "CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
}
$NTAuthCertificatesACL = Get-ACL -Path "AD:\$NTAuthCertificatesDN"
$NullGuid = [System.GUID]'00000000-0000-0000-0000-000000000000'
$NTAuthAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'ReadProperty,WriteProperty', 'Allow', $NullGuid, 'None'
$NTAuthCertificatesACL.AddAccessRule($NTAuthAccessRule)
Set-ACL -AclObject $NTAuthCertificatesACL -Path "AD:\$NTAuthCertificatesDN"

AWS Private CA Connector for AD のセットアップ

にサインイン AWS Management Console し、で AWS Directory Service コンソールを開きますhttps://console.aws.amazon.com/directoryservicev2/。
[Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。
Network & Security タブの AWS Private CA Connector for AD で、Set up AWS Private CA Connector for AD を選択します。ページのプライベート CA 証明書を作成する Active Directory が表示されます。コンソールの手順に従って、のプライベート CA を作成します。Active Directory プライベート CA に登録するコネクタ。詳細については、「コネクタの作成」を参照してください。
コネクタを作成したら、コネクタのステータスと関連付けられたプライベート CA のステータスなど、 AWS Private CA 詳細を表示する方法について説明します。

AWS Private CA Connector for AD の表示

にサインイン AWS Management Console し、で AWS Directory Service コンソールを開きますhttps://console.aws.amazon.com/directoryservicev2/。
[Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。
[ネットワークとセキュリティ] の [AWS Private CA Connector for AD] で、プライベート CA コネクタと関連するプライベート CA を表示できます。デフォルトでは、以下のフィールドが表示されます。
1. AWS Private CA コネクタ ID — AWS Private CA コネクタの一意の識別子。これをクリックすると、その AWS Private CA コネクタの詳細ページが表示されます。
2. AWS Private CA subject — CA の識別名に関する情報。こちらをクリックすると、その AWS Private CAの詳細ページが表示されます。
3. ステータス — AWS Private CA Connector とのステータスチェックに基づきます AWS Private CA。両方のチェックに合格すると、[アクティブ] と表示されます。いずれかのチェックが失敗すると、[1/2 チェック失敗] と表示されます。両方のチェックが失敗すると、[失敗] と表示されます。失敗ステータスの詳細については、ハイパーリンクにカーソルを合わせると、どのチェックが失敗したか確認できます。コンソール内の指示に従い、修正します。
4. 作成日 — AWS Private CA Connector が作成された日。

詳細については、「コネクタの詳細表示」を参照してください。

証明書 AWS Private CA の発行の確認

AWS Private CA がセルフマネージド型に証明書を発行していることを確認するには、次の手順を実行します。Active Directory.

オンプレミスのドメインコントローラーを再起動します。
で証明書を表示する Microsoft Management Console。詳細については、「」を参照してください。 Microsoft ドキュメント。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AD Connector サービスアカウントの認証情報の更新

ディレクトリをモニタリングする