AWS Private CA Connector for Active Directory の使用を開始する - AWS Private Certificate Authority
始める前にステップ 1: コネクタを作成するステップ 2: Microsoft Active Directory ポリシーを設定するステップ 3: テンプレートを作成するステップ 4: Microsoft グループのアクセス許可を設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Private CA Connector for Active Directory の使用を開始する

AWS Private CA Connector for Active Directory を使用すると、認証と暗号化のためにプライベート CA から Active Directory オブジェクトに証明書を発行できます。コネクタを作成すると、 AWS Private Certificate Authority はディレクトリオブジェクトが証明書をリクエストするためのエンドポイントを VPC に作成します。

証明書を発行するには、コネクタと、そのコネクタの AD 互換テンプレートを作成します。テンプレートを作成すると、AD グループの登録許可を設定できます。

始める前に

次のチュートリアルでは、AD 用のコネクタとコネクタテンプレートを作成するプロセスについて説明します。このチュートリアルに従うには、まず「」セクションに記載されている前提条件を満たす必要があります。

ステップ 1: コネクタを作成する

コネクタを作成するには、「」を参照してくださいActive Directory 用のコネクタの作成

ステップ 2: Microsoft Active Directory ポリシーを設定する

Connector for AD は、お客様のグループポリシーオブジェクト (GPO) 設定を表示または管理できません。GPO は、AD リクエストを顧客の AWS Private CA または他の認証サーバーや証明書供給サーバーにルーティングする制御を行います。GPO 設定が無効な場合、リクエストが正しくルーティングされない可能性があります。Connector for AD 設定を構成してテストするのはお客様次第です。

グループポリシーは 1 つのコネクタに関連付けられており、1 つの AD に対して複数のコネクタを作成することができます。グループポリシー設定が異なる場合、各コネクタへのアクセス制御を管理するのはユーザー次第です。

データプレーン呼び出しのセキュリティは、Kerberos および VPC 設定によって異なります。VPC にアクセスできる人なら誰でも、対応する AD に対して認証されている限り、データプレーン呼び出しを行うことができます。これは AWSAuth の境界外にあり、認可と認証の管理はお客様次第です。

Active Directory では、以下の手順に従って、コネクタを作成したときに生成された URI を指す GPO を作成します。このステップは、Connector for AD をコンソールまたはコマンドラインから使用するのに必要です。

GPO を設定する

  1. DC でサーバーマネージャーを開きます。

  2. [ツール] に移動し、コンソールの右上隅にある [グループポリシー管理] を選択します。

  3. [フォレスト] > [ドメイン] に移動します。ドメイン名を選択し、ドメインを右クリックします。「このドメインに GPO を作成してここにリンクする」を選択し、名前に PCA GPO を入力します。

  4. これで、新しく作成した GPO がドメイン名の下に表示されます。

  5. PCA GPO」を選択し、「編集」を選択します。ダイアログボックスが開き、「This is a link and that changes will be globally propagated (これはリンクであり、変更は全体に適用されます)」という警告メッセージが表示されたら、メッセージを了承して続行します。グループポリシー管理エディタが開きます。

  6. グループポリシー管理エディタ」で、[コンピュータの設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] (フォルダを選択) に移動します。

  7. [オブジェクトタイプ] に移動し、[証明書サービスクライアント - 証明書登録ポリシー] を選択します。

  8. オプションで、[設定モデル][有効] に変更します。

  9. [Active Directory 登録ポリシー]オン で、[有効] になっていることを確認します。[追加] を選択します。

  10. 証明書登録ポリシーサーバー ウィンドウが開くはずです。

  11. コネクタを作成したときに生成された証明書登録ポリシーサーバーエンドポイントを [登録サーバーポリシー URI を入力] フィールドに入力します。

  12. [認証タイプ][Windows 統合] のままにします。

  13. [検証] を選択します。検証が成功したら、[追加] を選択します。ダイアログボックスが閉じます。

  14. [証明書サービスクライアント - 証明書登録ポリシー] に戻り、新しく作成したコネクタの横にあるチェックボックスをオンにして、コネクタをデフォルトの登録ポリシーにします。

  15. Active Directory 登録ポリシー」を選択し、「削除」を選択します。

  16. 確認ダイアログボックスで [はい] を選択して LDAP ベースの認証を削除します。

  17. [証明書サービスクライアント] > [証明書登録ポリシー] ウィンドウで [適用][OK] を選択し、閉じます。

  18. [パブリックキーポリシー] フォルダに移動し、[証明書サービスクライアント - 自動登録] を選択します。

  19. [設定モデル] オプションを [有効] に変更します。

  20. [期限切れの証明書を更新する][証明書を更新する] の両方がオンになっていることを確認します。他の設定はそのままにします。

  21. 適用OK を選択し、ダイアログボックスを閉じます。

次に、ユーザー設定用のパブリックキーポリシーを設定します。[ユーザー設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] に移動します。ステップ 6 からステップ 21 までの手順に従って、ユーザー設定用のパブリックキーポリシーを設定します。

GPOs とパブリックキーポリシーの設定が完了すると、ドメイン内のオブジェクトは AWS Private CA Connector for AD に証明書をリクエストし、 によって発行された証明書を取得します AWS Private CA。

ステップ 3: テンプレートを作成する

テンプレートを作成するには、「」を参照してくださいコネクタテンプレートを作成する

ステップ 4: Microsoft グループのアクセス許可を設定する

Microsoft グループのアクセス許可を設定するには、「」を参照してくださいConnector for AD テンプレートのアクセスコントロールエントリを管理する