必要條件

CA 憑證要求

使用者憑證要求

憑證撤銷檢查流程

其他考量

若要登錄 CA 憑證，憑證距離過期日期必須在 90 天以上。

CA 憑證必須採用隱私權增強郵件 () PEM 格式。如果您從作用中目錄內匯出 CA 憑證，請選擇 Base64 編碼 X.509 (. CER) 做為匯出檔案格式。

必須上傳從發行 CA 連結到使用者憑證的所有根 CA 憑證和中間 CA 憑證，智慧卡身分驗證才能成功。

每個 AD Connector 目錄最多可以儲存 100 個 CA 憑證

AD Connector 不支援 CA 憑證的 RSASSA-PSS 簽章演算法。

確認憑證傳輸服務已設定為自動且執行中。

使用者的智慧卡憑證具有使用者 (SAN) 的主體別名 userPrincipalName (UPN)。

使用者的智慧卡憑證在智慧卡登入 (1.3.6.1.4.1.311.20.2.2) 用戶端驗證 (1.3.6.1.5.5.7.3.2) 時，使用者的智慧卡憑證具有增強的金鑰使用方式。

使用者智慧卡憑證的線上憑證狀態通訊協定 (OCSP) 資訊應為「授權單位資訊存取」中的「存取方法」=「線上憑證狀態通訊協定」(1.3.6.1.5.5.7.48.1)。

AD 連接器必須針對OCSP回應者檢查使用者憑證中的授權單位資訊存取 (AIA) 延伸模組URL，然後 AD Connector 會使URL用檢查撤銷。

如果 AD Connector 無法解析在使用者憑證AIA延伸中找URL到的，或在使用者憑證URL中找到OCSP回應程式，則 AD Connector 會使用根 CA 憑證登錄期間OCSPURL提供的選用項目。

如果使用者憑證AIA延伸功能URL中的解析但沒有回應，則使用者驗證會失敗。

如果根 CA 憑證註冊期間URL提供的OCSP回應者無法解析、沒有回應，或沒有提供OCSP回URL應者，則使用者驗證會失敗。

伺OCSP服器必須符合 RFC6960 標準。此外，OCSP伺服器必須支援使用GET方法來處理總共小於或等於 255 個位元組的要求。

AD Connector 使用憑證式相互傳輸層安全性驗證 (相互TLS)，使用硬體或軟體智慧卡憑證向 Active Directory 驗證使用者。目前僅支援一般存取卡 (CACPIV) 和個人身分驗證 () 卡。其他類型的硬體或軟體型智慧卡可能可以運作，但尚未經過 WorkSpaces串流通訊協定的測試。

智慧卡驗證會將使用者名稱和密碼驗證取代為 WorkSpaces。

如果您在 AD Connector 目錄中設定了啟用智慧卡驗證的其他 AWS 應用程式，這些應用程式仍會顯示使用者名稱和密碼輸入畫面。

啟用智慧卡身分驗證會將使用者工作階段長度限制為 Kerberos 服務票證的最大生命週期。您可以使用群組政策設定此設定 (預設為 10 小時)。如需此設定的詳細資訊，請參閱 Microsoft 文件。

AD Connector 服務帳戶支援的 Kerberos 加密類型應與每個域控制站支援的 Kerberos 加密類型相符。