AWS Managed Microsoft AD 用 AWS Private CA Connector for AD の設定 - AWS Directory Service
AWS Private CA Connector for AD を設定するAWS Private CA Connector for AD を表示するAD ポリシーの設定AWS Private CA が証明書を発行したことを確認する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Managed Microsoft AD 用 AWS Private CA Connector for AD の設定

AWS Managed Microsoft AD を「AWS Private Certificate Authority (CA)」と統合して、Active Directory ドメイン結合ユーザー、グループ、マシンの証明書を発行および管理できます。AWS Private CAConnector for Active Directory を設定すると、ローカルエージェントまたはプロキシサーバーをデプロイ、パッチ、更新しなくても、自己管理型のエンタープライズ CA の代わりに完全マネージド AWS Private CA の当座の代用を使用できます。

注記

AWS Private CA Connector for Active Directory による AWS Managed Microsoft AD ドメインコントローラのサーバー側 LDAPS 証明書登録は現在サポートされていません。ディレクトリのサーバー側 LDAPS を有効にするには、「AWS Managed Microsoft AD ディレクトリのサーバー側 LDAPS を有効にする方法」を参照してください。

AWS Private CA をディレクトリと統合するには、AWS Directory Service コンソール、Active Directory コンソールの AWS Private CA Connector、または CreateTemplate API の呼び出しで設定できます。Active Directory コンソールの AWS Private CA Connector でプライベート CA 統合を設定するには、「コネクタテンプレートの作成」を参照してください。AWS Directory Service コンソールからの統合を設定する手順については、以下のステップを参照してください。

AWS Private CA Connector for AD を設定する

  1. AWS Management Console にサインインして、AWS Directory Service で https://console.aws.amazon.com/directoryservicev2/ コンソールを開きます。

  2. [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。

  3. [ネットワークとセキュリティ] タブの [AWS Private CA Connector for AD] で、[AWS Private CA Connector for AD の設定] を選択します。[Active Directory 用のプライベート CA 証明書の作成] ページが表示されます。コンソールの手順に従って Active Directory Connector 用のプライベート CA を作成し、プライベート CA に登録します。詳細については、「コネクタの作成」を参照してください。

  4. コネクタを作成したら、以下の手順は、コネクタのステータスや関連するプライベート CA のステータスなどの AWS Private CA Connector for AD の詳細を表示します。

次に、AWS Private CA Connector for AD が証明書を発行できるように、AWS Managed Microsoft AD のグループポリシーオブジェクトを設定します。

AWS Private CA Connector for AD を表示する

  1. AWS Management Console にサインインして、AWS Directory Service で https://console.aws.amazon.com/directoryservicev2/ コンソールを開きます。

  2. [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。

  3. [ネットワークとセキュリティ] の [AWS Private CA Connector for AD] で、プライベート CA コネクタと関連するプライベート CA を表示できます。デフォルトでは、以下のフィールドが表示されます。

    1. AWS Private CA コネクタ ID — AWS Private CA コネクタの固有識別子。こちらをクリックすると、その AWS Private CA コネクタの詳細ページが表示されます。

    2. AWS Private CA サブジェクト — CA の識別名に関する情報。こちらをクリックすると、その AWS Private CA の詳細ページが表示されます。

    3. ステータス — AWS Private CA コネクタと AWS Private CA のステータスチェックに基づきます。両方のチェックに合格すると、[アクティブ] と表示されます。いずれかのチェックが失敗すると、[1/2 チェック失敗] と表示されます。両方のチェックが失敗すると、[失敗] と表示されます。失敗ステータスの詳細については、ハイパーリンクにカーソルを合わせると、どのチェックが失敗したか確認できます。コンソール内の指示に従い、修正します。

    4. 作成日 — AWS Private CA コネクタが作成された日。

詳細については、「コネクタの詳細表示」を参照してください。

AD ポリシーの設定

AWS Managed Microsoft AD オブジェクトが証明書をリクエストおよび受信できるように、CA Connector for AD を設定する必要があります。この手順では、AWS Private CA が AWS Managed Microsoft AD オブジェクトに証明書を発行できるように、グループポリシーオブジェクト (「GPO」) を設定します。

  1. AWS Managed Microsoft AD 管理者インスタンスに接続し、[スタート] メニューから[サーバーマネージャ] を開きます。

  2. [ツール] で、[グループポリシー管理] を選択します。

  3. [フォーレストとドメイン] で、サブドメイン組織単位 (OU) を検索し (例えば、AWS Managed Microsoft AD の作成 で説明されている手順に従っている場合、サブドメイン組織単位は corp になります)、サブドメイン OU を右クリックします。[このドメインに GPO を作成してここにリンクする…] を選択し、名前に PCA GPO を入力します。[OK] を選択します。

  4. 新しく作成された GPO は、サブドメイン名の後に表示されます。PCA GPO を右クリックして [編集] を選択します。ダイアログボックスが開かれる間に、 というアラートメッセージが表示する場合は、[確認] を選択してメッセージを確認します。[グループポリシー管理エディター] が開きます。

  5. [グループポリシー管理エディター] で、[コンピュータの設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] (フォルダを選択) に移動します。

  6. [オブジェクトのタイプ][証明書サービスクライアント - 証明書登録ポリシー] を選択します。

  7. [証明書サービスクライアント – 証明書登録ポリシー] ウィンドウで、[設定モデル][有効] に変更します。

  8. [Active Directory 登録ポリシー][選択済み]、そして [有効] になっていることを確認します。[追加] を選択します。

  9. [証明書登録ポリシーサーバー] ダイアログボックスを開くはずです。コネクタを作成したときに生成された証明書登録ポリシーサーバーエンドポイントを [登録サーバーポリシー URI を入力] フィールドに入力します。[認証タイプ][Windows 統合] のままにします。

  10. [検証] を選択します。検証が成功したら、[追加] を選択します。

  11. [証明書サービスクライアント – 証明書登録ポリシー] に戻り、新しく作成したコネクタの横にあるダイアログボックスを選択して、コネクタをデフォルトの登録ポリシーにします。

  12. Active Directory 登録ポリシー」を選択し、「削除」を選択します。

  13. 確認ダイアログボックスで [はい] を選択して LDAP ベースの認証を削除します。

  14. [証明書サービスクライアント] > [証明書登録ポリシー] ウィンドウで [適用][確認] を選択し、閉じます。次に、ウィンドウを閉じます。

  15. [パブリックキーポリシー]フォルダーの[オブジェクトの種類]で「Certificate Services Client – 自動登録」を選択します。

  16. [設定モデル] オプションを [有効] に変更します。

  17. [期限切れの証明書を更新する][証明書を更新する] の両方がオンになっていることを確認します。他の設定はそのままにします。

  18. [適用][確認] の順に選択し、ダイアログボックスを閉じます。

次に、ユーザー設定用のパブリックキーポリシーを設定します。

  • [ユーザー設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] に移動します。ステップ 6 からステップ 21 までの手順に従って、ユーザー設定用のパブリックキーポリシーを設定します。

GPO とパブリックキーポリシーの設定が完了すると、ドメイン内のオブジェクトは AWS Private CA Connector for AD に証明書を要求し、AWS Private CA によって発行された証明書を取得します。

AWS Private CA が証明書を発行したことを確認する

AWS Managed Microsoft AD の証明書を発行するために AWS Private CA を更新するプロセスには、最大 8 時間かかる場合があります。

次のいずれかを試すことができます。

  • この期間を待つことができます。

  • AWS Private CA から証明書を受信するように設定された AWS Managed Microsoft AD ドメイン参加マシンを再起動できます。その後、「Microsoft ドキュメント」の手順に従って、AWS Private CA が AWS Managed Microsoft AD ドメインのメンバーに証明書を発行したことを確認できます。

  • 次の Windows PowerShell コマンドを使用して、AWS Managed Microsoft AD の証明書を更新できます:

    certutil -pulse