Pré-requisitos

Requisitos de certificado de CA

Requisitos de certificado de TLS

Processo de verificação da revogação do certificado

Outras considerações

Para registrar um certificado de CA, ele deve estar a mais de 90 dias da expiração.

Os certificados de CA devem estar no formato PEM (Privacy Enhanced Mail). Se você exportar certificados de CA de dentro do Active Directory, escolha Base64-encoded X.509 (.CER) como o formato do arquivo de exportação.

Todos os certificados de CA raiz e intermediários encadeados de uma CA emissora a certificados de usuário devem ser carregados para que a autenticação por cartão inteligente seja bem-sucedida.

No máximo, 100 certificados de CA podem ser armazenados por diretório do AD Connector

O AD Connector não oferece suporte ao algoritmo de assinatura RSASSA-PSS para certificados de CA.

Verifique se o Serviço de Propagação de Certificados está definido como Automático e em execução.

O certificado de cartão inteligente do usuário tem um nome alternativo de assunto (SAN) do usuário userPrincipalName (UPN).

O certificado de cartão inteligente do usuário tem uso aprimorado de chaves como login do cartão inteligente (1.3.6.1.4.1.311.20.2.2) Autenticação do cliente (1.3.6.1.5.5.7.3.2).

As informações do Online Certificate Status Protocol (OCSP) do certificado de cartão inteligente do usuário devem ser Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) no Authority Information Access.

O AD Connector deve verificar a extensão Authority Information Access (AIA) no certificado do usuário para ver se há algum URL de respondente OCSP e, em seguida, o AD Connector usa o URL para verificar a revogação.

Se o AD Connector não conseguir resolver o URL encontrado na extensão AIA do certificado do usuário ou encontrar um URL de respondente OCSP no certificado do usuário, o AD Connector usará o URL do OCSP opcional fornecido durante o registro do certificado de CA raiz.

Se o URL na extensão AIA do certificado do usuário for resolvido, mas não responder, a autenticação do usuário falhará.

Se o URL do respondente OCSP fornecido durante o registro do certificado CA raiz não puder ser resolvido, não estiver respondendo ou se nenhum URL do respondente OCSP tiver sido fornecido, a autenticação do usuário falhará.

O servidor OCSP deve ser compatível com a RFC 6960. Além disso, o servidor OCSP deve oferecer suporte a solicitações usando o método GET para solicitações menores ou iguais a 255 bytes no total.

O AD Connector usa autenticação mútua de Transport Layer Security (TLS) baseada em certificado para autenticar usuários no Active Directory usando certificados de cartão inteligente baseados em hardware ou software. No momento, somente cartões de acesso comuns (CAC) e cartões de verificação de identidade pessoal (PIV) podem ser usados. Outros tipos de cartões inteligentes baseados em hardware ou software podem funcionar, mas não foram testados para uso com o protocolo de WorkSpaces streaming.

A autenticação por cartão inteligente substitui a autenticação por nome de usuário e senha por WorkSpaces.

Se você tiver outros AWS aplicativos configurados no diretório do AD Connector com a autenticação por cartão inteligente ativada, esses aplicativos ainda apresentarão a tela de entrada de nome de usuário e senha.

A habilitação da autenticação por cartão inteligente limita a duração da sessão do usuário à vida útil máxima dos tíquetes de serviço Kerberos. Você pode definir essa configuração usando uma política de grupo, e a duração é definida como 10 horas por padrão. Para obter mais informações sobre configurações e opções, consulte a documentação da Microsoft.

O tipo de criptografia Kerberos compatível com a conta de serviço do AD Connector deve corresponder a cada tipo de criptografia Kerberos compatível com o controlador de domínio.