先决条件

CA 证书要求

用户证书要求

证书吊销检查流程

其他考虑因素

CA 证书的有效期必须大于 90 天才能进行注册。

CA 证书必须采用隐私增强型邮件 () PEM 格式。如果您从 Active Directory 内部导出 CA 证书，请选择 Base64 编码的 X.509 (. CER) 作为导出文件格式。

必须上传从颁发证书 CA 链接到用户证书的所有根证书和中间 CA 证书，智能卡身份验证才能成功。

每个 AD Connector 目录最多可存储 100个 CA 证书

AD Connector RSASSA 不支持 CA 证书的PSS签名算法。

验证证书传播服务是否设置为 “自动” 且正在运行。

用户的智能卡证书具有用户的使用者备用名称 (SAN) userPrincipalName (UPN)。

用户的智能卡证书使用增强型密钥用法作为智能卡登录 (1.3.6.1.4.1.311.20.2.2) 客户端身份验证 (1.3.6.1.5.5.7.3.2)。

用户智能卡证书的在线证书状态协议 (OCSP) 信息应为 “权限信息访问” 中的 “访问方法=在线证书状态协议 (1.3.6.1.5.5.7.48.1)”。

AD Connector 必须检查OCSP响应者的用户证书中的授权信息访问权限 (AIA) 扩展URL，然后 AD Connector 使用URL来检查是否已撤销。

如果 AD Connector 无法解析在用户证书AIA扩展中找到的问题，也无法在用户证书URL中找到OCSP响应者，那么 AD Connector 将使用根 CA 证书注册期间OCSPURL提供的可选内容。URL

如果用户证书AIA扩展插件URL中的已解析但没有响应，则用户身份验证将失败。

如果在根 CA 证书注册期间URL提供的OCSP响应者无法解析、无响应或未提供OCSP响应者，则用户身份验证将URL失败。

OCSP服务器必须符合 RFC6960。此外，对于总共小于或等于 255 字节的请求，OCSP服务器必须支持使用该GET方法的请求。

AD Connector 使用基于证书的相互传输层安全身份验证（双向TLS），使用基于硬件或软件的智能卡证书对 Active Directory 的用户进行身份验证。目前仅支持普通门禁卡 (CACPIV) 和个人身份验证 () 卡。其他类型的基于硬件或软件的智能卡可能可以使用，但尚未经过与 WorkSpaces流媒体协议配合使用的测试。

智能卡身份验证取代了用户名和密码身份验证 WorkSpaces。

如果您在 AD Connector 目录中配置了其他 AWS 应用程序并启用了智能卡身份验证，则这些应用程序仍会显示用户名和密码输入屏幕。

启用智能卡身份验证会将用户会话时长限制为 Kerberos 服务票证的最大生命周期。您可以使用组策略配置此设置，默认情况下将其设置为 10 小时。有关该设置的更多信息，请参阅 Microsoft 文档。

AD Connector 服务账户支持的 Kerberos 加密类型应与每个域控制器支持的 Kerberos 加密类型相匹配。