Pré-requisitos Configuração do AWS Private CA Connector para AD Exibição do AWS Private CA Connector para AD Confirmando a AWS Private CA emissão de um certificado

Configurar o AWS Private CA conector para AD para AD Connector

Você pode integrar seu autogerenciado Active Directory (AD) com AWS Private Certificate Authority (CA) com AD Connector para emitir e gerenciar certificados para usuários, grupos e máquinas unidos ao seu domínio AD. AWS Private CA O Connector for AD permite que você use um substituto AWS Private CA direto totalmente gerenciado para sua empresa autogerenciada CAs sem a necessidade de implantar, corrigir ou atualizar agentes locais ou servidores proxy.

Você pode configurar a AWS Private CA integração com seu diretório por meio do console do Directory Service, do console AWS Private CA Connector for AD ou chamando a CreateTemplateAPI. Para configurar a integração da CA privada por meio do AWS Private CA conector para Active Directory console, consulte AWS Private CA Conector para Active Directory. Veja abaixo as etapas sobre como configurar essa integração a partir do AWS Directory Service console.

Pré-requisitos

Ao usar o AD Connector, você precisa delegar permissões adicionais à conta de serviço. Defina a lista de controle de acesso (ACL) em sua conta de serviço para que você possa concluir os passos a seguir.

Adicione e remova um nome de entidade principal do serviço (SPN) a si mesmo.

Crie e atualize autoridades de certificação nos seguintes contêineres:


#containers
CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,
CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,
CN=Public Key Services,CN=Services,CN=Configuration

Crie e atualize um objeto da Autoridade de Certificação de NTAuth Certificados, como no exemplo a seguir. Se o objeto Autoridade de Certificação de NTAuth Certificados existir, você deverá delegar permissões para ele. Se o objeto não existir, você deverá delegar a capacidade de criar objetos secundários no contêiner de serviços de chave pública.
```
#objects
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration
```

nota

Se você estiver usando o AWS Managed Microsoft AD, as permissões adicionais serão delegadas automaticamente quando você autorizar o serviço AWS Private CA Connector for AD com seu diretório.

Você pode usar o seguinte PowerShell script para delegar as permissões adicionais e criar o objeto de autoridade de certificação de NTAuth certificados. myconnectoraccountSubstitua pelo nome da conta de serviço.


$AccountName = 'myconnectoraccount'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module -Name 'ActiveDirectory'
$RootDSE = Get-ADRootDSE
# Getting AD Connector service account Information
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
$AccountAclPath = $AccountProperties.DistinguishedName
# Getting ACL settings for AD Connector service account.
$AccountAcl = Get-ACL -Path "AD:\$AccountAclPath"
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AccountAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGuid, 'None'
$AccountAcl.AddAccessRule($AccountAccessRule)
Set-ACL -AclObject $AccountAcl -Path "AD:\$AccountAclPath"
# Add ACLs allowing AD Connector service account the ability to create certification authorities
[System.GUID]$CertificationAuthorityGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'certificationAuthority' } -Properties 'schemaIDGUID').schemaIDGUID
$CAAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'ReadProperty,WriteProperty,CreateChild,DeleteChild', 'Allow', $CertificationAuthorityGuid, 'None'
$PKSDN = "CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
$PKSACL = Get-ACL -Path "AD:\$PKSDN"
$PKSACL.AddAccessRule($CAAccessRule)
Set-ACL -AclObject $PKSACL -Path "AD:\$PKSDN"
$AIADN = "CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
$AIAACL = Get-ACL -Path "AD:\$AIADN"
$AIAACL.AddAccessRule($CAAccessRule)
Set-ACL -AclObject $AIAACL -Path "AD:\$AIADN"
$CertificationAuthoritiesDN = "CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
$CertificationAuthoritiesACL = Get-ACL -Path "AD:\$CertificationAuthoritiesDN"
$CertificationAuthoritiesACL.AddAccessRule($CAAccessRule)
Set-ACL -AclObject $CertificationAuthoritiesACL -Path "AD:\$CertificationAuthoritiesDN"
$NTAuthCertificatesDN = "CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
If (-Not (Test-Path -Path "AD:\$NTAuthCertificatesDN")) {
    New-ADObject -Name 'NTAuthCertificates' -Type 'certificationAuthority' -OtherAttributes @{certificateRevocationList=[byte[]]'00';authorityRevocationList=[byte[]]'00';cACertificate=[byte[]]'00'} -Path "CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)"
}
$NTAuthCertificatesACL = Get-ACL -Path "AD:\$NTAuthCertificatesDN"
$NullGuid = [System.GUID]'00000000-0000-0000-0000-000000000000'
$NTAuthAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'ReadProperty,WriteProperty', 'Allow', $NullGuid, 'None'
$NTAuthCertificatesACL.AddAccessRule($NTAuthAccessRule)
Set-ACL -AclObject $NTAuthCertificatesACL -Path "AD:\$NTAuthCertificatesDN"

Configuração do AWS Private CA Connector para AD

Faça login no AWS Management Console e abra o AWS Directory Service console emhttps://console.aws.amazon.com/directoryservicev2/.
Na página Directories (Diretórios), escolha o ID do diretório.
Na guia Gerenciamento de AWS aplicativos e na seção Aplicativos e serviços, escolha AWS Private CA Conector para AD. A página Criar certificado CA privado para Active Directoryaparece. Siga as etapas no console para criar sua CA privada para Active Directory conector para se inscrever em sua CA privada. Para obter mais informações, consulte Criar um conector.
Depois de criar seu conector, as etapas a seguir explicam como visualizar os detalhes do AWS Private CA Conector para AD, incluindo o status do conector e o status da CA privada associada.

Exibição do AWS Private CA Connector para AD

Faça login no AWS Management Console e abra o AWS Directory Service console emhttps://console.aws.amazon.com/directoryservicev2/.
Na página Directories (Diretórios), escolha o ID do diretório.
Na guia Gerenciamento de AWS aplicativos e na seção Aplicativos e serviços, você pode ver seus conectores de CA privada e CA privada associada. Por padrão, você vê os seguintes campos:
1. AWS Private CA ID do conector — O identificador exclusivo de um AWS Private CA conector. Selecioná-lo leva à página de detalhes desse AWS Private CA conector.
2. AWS Private CA assunto — Informações sobre o nome distinto da CA. Clicar nele leva à página de detalhes desse AWS Private CA.
3. Status — Com base em uma verificação de status do AWS Private CA conector e do AWS Private CA. Se ambas as verificações forem aprovadas, Ativo será exibido. Se uma das verificações falhar, 1/2 verificações falhou será exibida. Se as duas verificações falharem, Falha será exibida. Para obter mais informações sobre um status de falha, mova o ponteiro do mouse sobre o hiperlink para saber qual verificação falhou. Siga as instruções no console para fazer a correção.
4. Data de criação — O dia em que o AWS Private CA conector foi criado.

Para obter mais informações, consulte Visualizar detalhes do conector.

Confirmando a AWS Private CA emissão de um certificado

Você pode concluir as etapas a seguir para confirmar que AWS Private CA está emitindo certificados para seu autogerenciado Active Directory.

Reinicie seus controladores de domínio on-premises.
Veja seus certificados com Microsoft Management Console. Para obter mais informações, consulte Microsoft documentação.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Atualização de credenciais da conta de serviço do AD Connector

Monitorar seu diretório