创建连接器模板 - AWS Private Certificate Authority

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建连接器模板

模板是证书颁发后的外观以及客户端应如何处理证书的配置列表。以下过程说明了如何创建模板。

Console
使用控制台创建模板

  1. 登录您的 AWS 账户,然后打开 Active Directory AWS Private CA 连接器控制台,网址为https://console.aws.amazon.com/pca-connector-ad/home

  2. 适用于 Active Directory 的连接器列表中选择一个连接器,然后选择查看详细信息

  3. 在连接器的详细信息页面上,找到模板部分,然后选择创建模板

  4. 创建模板页面的模板创建方法部分,选择其中一个方法选项。

    • 从预定义的模板开始(默认值)– 从 AD 应用程序的预定义模板列表中进行选择:

      • 代码签名

      • 计算机

      • 域控制器身份验证

      • EFS恢复代理

      • 注册代理

      • 注册代理(计算机)

      • IPSec

      • Kerberos 身份验证

      • RAS和IAS服务器

      • 智能卡登录

      • 信任列表签名

      • 用户签名

      • 工作站身份验证

    • 从您创建的现有模板开始 – 从您之前创建的自定义模板列表中进行选择。

    • 从空白模板开始 – 选择此选项可开始创建全新的模板。

  5. 证书设置部分,根据此模板定义证书的以下设置。

    • 证书类型 – 指定是创建用户证书还是计算机证书。

    • 自动注册 – 根据此模板选择是否激活证书的自动注册。

    • 有效期 – 将证书有效期指定为小时、天、周、月或年的整数值。最小值为 2 小时。

    • 续订期限 – 将证书续订期限指定为小时、天、周、月或年的整数值。续订期限不得超过有效期的 75%。

    • 使用者名称 – 根据 Active Directory 中包含的信息,选择要包含在使用者名称中的一个或多个选项。

      注意

      必须至少指定一个使用者名称或使用者备用名称选项。

      • 公用名

      • DNS作为常用名

      • 目录路径

      • 电子邮件

    • 使用者备用名称 – 根据 Active Directory 中包含的信息,选择要包含在使用者备用名称中的一个或多个选项。

      注意

      必须至少指定一个使用者名称或使用者备用名称选项。

      • 名录 GUID

      • DNS名字

      • 域名 DNS

      • 电子邮件

      • 服务主体名称 (SPN)

      • 用户主体名称 (UPN)

  6. 证书请求处理和注册选项部分,根据模板指定证书的用途,选择以下选项之一。

    • 签名

    • 加密

    • 签名和加密

    • 签名和智能卡登录

    接下来,选择要激活以下哪些功能。选项因证书用途而有所不同。

    • 删除无效的证书(不存档)

    • 包括对称算法

    • 可导出的私有密钥

    最后,选择证书注册选项。选项因证书用途而有所不同。

    • 无需用户输入

    • 在注册期间提示用户

    • 在注册期间提示用户并需要用户输入

  7. 应用程序策略部分,选择所有适用的应用程序策略。可用策略在多个页面中列出。某些策略可能是由于之前的设置而预先选择的。

  8. 自定义应用程序策略部分,您可以OIDs向模板添加自定义策略,并指定应用程序策略扩展是否重要。

  9. 加密设置部分,根据此模板为证书选择以下类别的加密设置。

  10. 组和权限部分,您可以查看模板现有组和注册权限,也可以选择添加新的组和权限按钮来添加新的组和权限。该按钮将打开一个需要以下信息的表单:

    • 显示名称

    • 安全标识符 (SID)

    • 报名,有选项 ALLOW | DENY | NOT SET

    • 自动注册,有选项 ALLOW | | DENY NOT SET

  11. 替代模板部分中,您可以通知 Active Directory 当前模板取代在 AD 中创建的一个或多个模板。通过选择添加 Active Directory 模板以取代并指定取代模板的通用名称来应用取代模板。

  12. 标签:可选窗格中,您可以在 AD 资源上应用和移除元数据。标签是键值字符串对,其中键对于资源必须是唯一的,而值是可选的。该窗格在表中显示资源的任何现有标签。支持以下操作。

    • 选择管理标签以打开管理标签页面。

    • 选择“添加新标签”以创建标签。填写字段和(可选)字段。选择保存更改以应用标签。

    • 选择标签旁边的删除按钮将其标记为删除,然后选择保存更改进行确认。

  13. 提供所需信息并检查您的选择后,选择创建模板。这将打开模板详细信息,您可以在其中查看新模板的设置、编辑或删除模板、管理组和权限、管理被取代的模板、管理标签以及为证书持有者设置自动重新注册。

API

要使用创建连接器模板 API

使用 Active Directory AWS Private CA 连接器中的 CreateTemplate操作API。

CLI

要使用创建连接器模板 AWS CLI

在 Activ e Directory 的 AWS Private CA 连接器部分使用创建模板命令。 AWS CLI