本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 建立連接器範本 範本是憑證發行後應如何顯示,以及用戶端應如何處理憑證的組態清單。下列程序說明如何建立範本。 ------ #### [ Console ] **使用主控台建立範本** 1. 登入 AWS 您的帳戶,並在 開啟 AWS 私有 CA Connector for Active Directory 主控台**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**。 1. 從 **Connectors for Active Directory** 清單中選擇連接器,然後選擇**檢視詳細資訊**。 1. 在連接器的詳細資訊頁面上,尋找**範本**區段,然後選擇**建立範本**。 1. 在**建立範本**頁面上的**範本建立方法**區段中,選擇其中一個方法選項。 + **從預先定義的範本開始 **(預設) – 從預先定義的 AD 應用程式範本清單中選擇: + **程式碼簽署** + **電腦** + **網域控制器身分驗證** + **EFS 復原代理程式** + **註冊代理程式** + **註冊代理程式 (電腦)** + **IPSec** + **Kerberos 身分驗證** + **RAS 和 IAS 伺服器** + **智慧卡登入** + **信任清單簽署** + **使用者簽章** + **工作站身分驗證** + **從您建立的現有範本開始** – 從您先前建立的自訂範本清單中選擇。 + **從空白範本開始** – 選擇此選項以開始建立新的範本。 1. 在**憑證設定**區段中,根據此範本定義憑證的下列設定。 + **憑證類型** – 指定要建立**使用者**或**電腦**憑證。 + **自動註冊** – 選擇是否根據此範本啟用憑證的自動註冊。 + **有效期間** – 將憑證有效期間指定為小時、天、週、月或年的整數值。最小值為 2 小時。 + **續約期間** – 將憑證續約期間指定為小時、天、週、月或年的整數值。續約期間不得超過 75% 的有效期。 + **主旨名稱** – 根據 Active Directory 中包含的資訊,選擇要包含在主旨名稱中的一或多個選項。 **注意** 必須指定至少一個主體名稱或主體替代名稱選項。 + **一般名稱** + **DNS 做為一般名稱** + **目錄路徑** + **電子郵件** + **主體替代名稱** – 根據 Active Directory 中包含的資訊,選擇要包含在主體替代名稱中的一或多個選項。 **注意** 必須指定至少一個主體名稱或主體替代名稱選項。 + **目錄 GUID** + **DNS 名稱** + **網域 DNS** + **電子郵件** + **服務主體名稱 (SPN)** + **使用者主體名稱 (UPN)** 1. 在**憑證請求處理和註冊選項**區段中,根據範本指定憑證的用途,選擇下列其中一個選項。 + **Signature** + **加密** + **簽章和加密** + **簽章和智慧卡登入** 接下來,選擇要啟用的下列哪些功能。選項會根據憑證用途而有所不同。 + **刪除無效的憑證 (請勿封存)** + **包含對稱演算法** + **可匯出的私有金鑰** 最後,選擇憑證註冊選項。選項會根據憑證用途而有所不同。 + **不需要使用者輸入** + **註冊期間提示使用者** + **在註冊期間提示使用者,並要求使用者輸入** 1. 在**應用程式政策**區段中,選擇所有適用的應用程式政策。可用的政策會列在數個頁面中。某些政策可能會因為先前的設定而預先選取。 1. 在**自訂應用程式政策**區段中,您可以將自訂 OIDs 新增至範本,並指定應用程式政策延伸是否重要。 1. 在**密碼編譯設定**區段中,選擇下列類別的密碼編譯設定,以根據此範本進行憑證。 1. 在**群組和許可**區段中,您可以檢視範本現有的群組和註冊許可,也可以選擇**新增群組和許可按鈕來新增群組和許可**。按鈕會開啟需要下列資訊的表單: + **顯示名稱** + **安全識別符** (SID) + **註冊**,使用選項允許 \$1 拒絕 \$1 未設定 + **自動註冊**,含允許選項 \$1 DENY \$1 未設定 1. 在**取代範本**區段中,您可以通知 Active Directory 目前的範本會取代 AD 中建立的一或多個範本。選擇**從 Active Directory 中新增範本以取代**並指定取代範本的一般名稱,以套用取代範本。 1. 在**標籤 – 選用**窗格中,您可以在 AD 資源上套用和移除中繼資料。標籤是索引鍵/值字串對,其中索引鍵必須是 資源的唯一值,而值是選用的。此窗格會顯示資料表中資源的任何現有標籤。支援以下動作。 + 選擇**管理標籤**以開啟**管理標籤**頁面。 + 選擇新增標籤以建立標籤。填寫**金鑰**欄位,並選擇性地填寫**值**欄位。選擇**儲存變更**以套用標籤。 + 選擇標籤旁的**移除**按鈕來標記要刪除,然後選擇**儲存變更**以確認。 1. 在提供必要資訊並檢閱您的選擇之後,請選擇**建立範本**。這會開啟**範本詳細資訊**,您可以在其中檢閱新範本的設定、編輯或刪除範本、管理群組和許可、管理取代的範本、管理標籤,以及為憑證持有者設定自動重新註冊。 ------ #### [ API ] **使用 API 建立連接器範本** 使用 AWS 私有 CA Connector for Active Directory API 中的 [ CreateTemplate](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html) 動作。 ------ #### [ CLI ] **使用 建立連接器範本 AWS CLI** 在 的 AWS 私有 CA Connector for Active Directory 區段中使用 [ create-template](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/create-template.html) 命令 AWS CLI。 ------