本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
開始使用適用於 Active Directory 的 AWS Private CA Connector
使用適用於 Active Directory 的 AWS Private CA Connector,您可以從私有 CA 向 Active Directory 物件發出憑證,以進行身分驗證和加密。當您建立連接器時, 會在 VPC 中 AWS Private Certificate Authority 為您建立端點,讓目錄物件請求憑證。
若要發出憑證,您可以為連接器建立連接器和 AD 相容範本。建立範本時,您可以設定 AD 群組的註冊許可。
開始之前
下列教學課程會引導您完成建立 AD 連接器和連接器範本的程序。若要遵循本教學課程,您必須先滿足 章節中列出的先決條件。
步驟 1:建立連接器
若要建立連接器,請參閱 建立使用中目錄的連接器。
步驟 2:設定 Microsoft Active Directory 政策
適用於 AD 的 連接器無法檢視或管理客戶的群組政策物件 (GPO) 組態。GPO 控制 AD 請求路由至客戶 AWS 私有 CA 或其他身分驗證或憑證自動販賣伺服器的路由。無效的 GPO 組態可能會導致您的請求路由不正確。客戶可以自行設定和測試 Connector for AD 組態。
群組政策與 連接器相關聯,您可以選擇為單一 AD 建立多個連接器。如果每個連接器的群組政策組態不同,您可以自行管理其存取控制。
資料平面呼叫的安全性取決於 Kerberos 和您的 VPC 組態。只要對對應的 AD 進行身分驗證,任何有權存取 VPC 的人都可以進行資料平面呼叫。這存在於 AWSAuth 界限之外,且管理授權和身分驗證取決於您,即客戶。
在 Active Directory 中,請依照下列步驟建立指向建立連接器時產生的 GPO 的 URI。從主控台或命令列使用 Connector for AD 需要此步驟。
設定 GPOs。
-
在 DC 上開啟 Server Manager
-
前往工具,然後選擇主控台右上角的群組政策管理。
-
前往樹系 > 網域。選取您的網域名稱,然後用滑鼠右鍵按一下您的網域。選取在此網域中建立 GPO,並將其連結至此處...,然後輸入
PCA GPO做為名稱。 -
新建立的 GPO 現在將列在您的網域名稱下。
-
選擇 PCA GPO並選取編輯。如果對話方塊開啟並顯示提醒訊息 這是連結,且變更將全域傳播,請確認訊息以繼續。群組政策管理編輯器應開啟。
-
在群組政策管理編輯器中,前往電腦組態 > 政策 > Windows 設定 > 安全設定 > 公有金鑰政策 (選擇資料夾)。
-
前往物件類型,然後選擇 Certificate Services Client - Certificate Enrollment Policy
-
在 選項中,將組態模型變更為已啟用。
-
確認已核取 Active Directory 註冊政策並已啟用。選擇新增。
-
Certificate Enrollment Policy Server 視窗應開啟。
-
在輸入註冊伺服器政策 URI 欄位中輸入您建立連接器時產生的憑證註冊政策伺服器端點。
-
將身分驗證類型保留為 Windows 整合。
-
選擇驗證。驗證成功後,選取新增。對話方塊會關閉。
-
返回 Certificate Services Client - Certificate Enrollment Policy 並勾選新建立連接器旁的核取方塊,以確保連接器是預設的註冊政策
-
選擇 Active Directory 註冊政策,然後選擇移除。
-
在確認撥號方塊中,選擇是來刪除以 LDAP 為基礎的身分驗證。
-
在憑證服務用戶端 > 憑證註冊政策視窗中選擇套用並確定,然後關閉它。
-
前往公有金鑰政策資料夾,然後選擇憑證服務用戶端 - 自動註冊。
-
將組態模型選項變更為已啟用。
-
確認已檢查續約過期憑證和更新憑證。讓其他設定保持不變。
-
選擇套用,然後選擇確定,然後關閉對話方塊。
設定 公有金鑰政策,以供接下來的使用者設定。前往使用者組態 > 政策 > Windows 設定 > 安全設定 > 公有金鑰政策。請遵循步驟 6 到步驟 21 中概述的程序,設定使用者組態的公有金鑰政策。
設定 GPOs 和公有金鑰政策完成後,網域中的物件會從 AWS 私有 CA Connector for AD 請求憑證,並取得 發行的憑證 AWS 私有 CA。
步驟 3:建立範本
若要建立範本,請參閱 建立連接器範本。
步驟 4:設定 Microsoft 群組許可
若要設定 Microsoft 群組許可,請參閱 Manage Connector for AD 範本存取控制項目。
