为 AWS Managed Microsoft AD 设置 AWS Private CA Connector for AD - AWS Directory Service
设置 AWS Private CA Connector for AD查看 AWS Private CA Connector for AD配置 AD 策略确认 AWS Private CA 已颁发证书

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 AWS Managed Microsoft AD 设置 AWS Private CA Connector for AD

您可以将 AWS Managed Microsoft AD 与 AWS Private Certificate Authority(CA)集成,从而为加入 Active Directory 域的用户、组和计算机颁发和管理证书。AWS Private CAConnector for Active Directory 允许您使用完全托管的 AWS Private CA 简易替代方案来代替自托管式企业 CA,而无需部署、修补或更新本地代理或代理服务器。

注意

目前不支持使用 AWS Private CA Connector for Active Directory 为 AWS Managed Microsoft AD 域控制器注册服务器端 LDAPS 证书。要为目录启用服务器端 LDAPS,请参阅 How to enable server-side LDAPS for your AWS Managed Microsoft AD directory

您可以通过 AWS Directory Service 控制台、AWS Private CA Connector for Active Directory 控制台或通过调用 CreateTemplate API 来设置与目录的 AWS Private CA 集成。要通过 AWS Private CA Connector for Active Directory 控制台设置私有 CA 集成,请参阅创建连接器模板。有关如何从 AWS Directory Service 控制台设置此集成,请参阅以下步骤。

设置 AWS Private CA Connector for AD

  1. 登录到 AWS Management Console,然后通过以下网址打开 AWS Directory Service 控制台:https://console.aws.amazon.com/directoryservicev2/

  2. 目录页面上,选择您的目录 ID。

  3. 网络与安全性选项卡下的 AWS Private CA Connector for AD 下,选择设置 AWS Private CA Connector for AD。将出现创建 Active Directory 的私有 CA 证书页面。按照控制台上的步骤创建 Active Directory Connector 的私有 CA 以注册您的私有 CA。有关更多信息,请参阅 Creating a connector

  4. 创建连接器后,请按照以下步骤查看 AWS Private CA Connector for AD 的详细信息,包括连接器的状态和关联的私有 CA 的状态。

接下来,您将为 AWS Managed Microsoft AD 配置组策略对象,以便 AWS Private CA Connector for AD 可以颁发证书。

查看 AWS Private CA Connector for AD

  1. 登录到 AWS Management Console,然后通过以下网址打开 AWS Directory Service 控制台:https://console.aws.amazon.com/directoryservicev2/

  2. 目录页面上,选择您的目录 ID。

  3. 网络与安全性下的 AWS Private CA Connector for AD 下,您可以查看您的私有 CA 连接器和关联的私有 CA。默认情况下,您会看到以下字段:

    1. AWS Private CA Connector ID – AWS Private CA Connector 的唯一标识符。单击该字段会进入该 AWS Private CA Connector 的详细信息页面。

    2. AWS Private CA 主题 – 有关 CA 的可分辨名称的信息。点击该字段会进入该 AWS Private CA 的详细信息页面。

    3. 状态 – 基于对 AWS Private CA Connector 和 AWS Private CA 的状态检查。如果两项检查均通过,则会显示活动。如果其中一项检查失败,则会显示 1/2 检查失败。如果两项检查均失败,则会显示失败。有关失败状态的更多信息,请将鼠标悬停在超链接上以了解哪项检查失败。按照控制台中的说明进行修复。

    4. 创建日期 – AWS Private CA Connector 的创建日期。

有关更多信息,请参阅 View connector details

配置 AD 策略

需要配置 CA Connector for AD,以便 AWS Managed Microsoft AD 对象可以请求和接收证书。在此过程中,您将配置您的组策略对象(GPO),以便 AWS Private CA 可以向 AWS Managed Microsoft AD 对象颁发证书。

  1. 连接到 AWS Managed Microsoft AD 管理实例,然后从开始菜单中打开服务器管理器

  2. 工具下,选择组策略管理

  3. 林和域下,找到您的子域组织单位(OU)(例如,如果您按照创建你的 Microsoft AWS 托管广告中概述的过程进行操作,则子域组织单位将为 corp),然后右键单击您的子域 OU。选择在此域中创建 GPO,并将其链接到此处...,然后在名称中输入 PCA GPO。选择确定

  4. 新创建的 GPO 将出现在您的子域名后面。右键单击 PCA GPO 并选择编辑。如果对话框打开,并显示一条警报消息: ,请选择确定确认该消息以继续操作。组策略管理编辑器窗口应打开。

  5. 组策略管理编辑器窗口中,转到计算机配置 > 策略 > Windows 设置 > 安全设置 > 公有密钥政策(选择文件夹)

  6. 对象类型下,选择证书服务客户端 – 证书注册策略

  7. 证书服务客户端 – 证书注册策略窗口中,将配置模型更改为启用

  8. 确认已选中启用 Active Directory 注册策略。选择添加

  9. 此时应打开证书注册策略服务器窗口。在输入注册服务器策略 URI 字段中输入创建连接器时生成的证书注册策略服务器端点。将身份验证类型保留为 Windows 集成

  10. 选择验证。验证成功后,选择添加

  11. 返回证书服务客户端 – 证书注册策略对话框并选中新创建的连接器旁边的复选框,以确保连接器为默认注册策略。

  12. 选择 Active Directory 注册策略,然后选择删除

  13. 在确认对话框中,选择以删除基于 LDAP 的身份验证。

  14. 证书服务客户端 – 证书注册策略窗口中,选择应用,然后选择确定。然后关闭窗口。

  15. 公有密钥政策文件夹的对象类型下,选择证书服务客户端 – 自动注册

  16. 配置模型选项更改为启用

  17. 确认续订过期的证书更新证书选项均已选中。保持其他设置不变。

  18. 依次选择应用确定,然后关闭对话框。

接下来,您将配置用户配置的公有密钥政策。

  • 转到用户配置 > 策略 > Windows 设置 > 安全设置 > 公有密钥策略。按照前面步骤 6 到步骤 21 中的过程配置用户配置的公有密钥政策。

配置完 GPO 和公有密钥策略后,域中的对象将向 AWS Private CA Connector for AD 请求证书,并获得由 AWS Private CA 颁发的证书。

确认 AWS Private CA 已颁发证书

更新 AWS Private CA 以为 AWS Managed Microsoft AD 颁发证书的过程最多需要 8 个小时。

您可以执行以下操作之一:

  • 您可以等待一段时间。

  • 您可以重新启动已加入 AWS Managed Microsoft AD 域的计算机,这些计算机配置为从 AWS Private CA 接收证书。然后,您可以按照 Microsoft 文档中的过程进行操作,以便确认 AWS Private CA 已向 AWS Managed Microsoft AD 域的成员颁发了证书。

  • 您可以使用以下 Windows PowerShell 命令更新 AWS Managed Microsoft AD 的证书:

    certutil -pulse