在 AD Connector 中启用 mTLS 身份验证以便与智能卡配合使用 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 AD Connector 中启用 mTLS 身份验证以便与智能卡配合使用

您可以将基于证书的相互传输层安全性协议(mTLS)身份验证与智能卡一起使用,通过您自托管式 Active Directory(AD)和 AD Connector 对进入 Amazon WorkSpaces 的用户进行身份验证。启用后,用户将在 WorkSpaces 登录屏幕上选择自己的智能卡,然后输入 PIN 进行身份验证,而不是使用用户名和密码。Windows 或 Linux 虚拟桌面可在此使用智能卡从本机桌面操作系统进行 AD 身份验证。

注意

AD Connector 中的智能卡身份验证仅在以下 Amazon Web Services 区域 中可用,并且仅适用于 WorkSpaces。目前不支持其他 Amazon 应用程序。

  • 美国东部(弗吉尼亚州北部)

  • 美国西部(俄勒冈州)

  • 亚太地区(悉尼)

  • 亚太地区(东京)

  • 欧洲地区(爱尔兰)

  • Amazon GovCloud(美国西部)

  • Amazon GovCloud(美国东部)

您还可以取消注册和禁用证书。

先决条件

要使用智能卡为 Amazon WorkSpaces 客户端启用基于证书的相互传输层安全性(mTLS)身份验证,您需要与自托管式 Active Directory 集成的可操作智能卡基础架构。有关如何使用 Amazon WorkSpaces 和 Active Directory 设置智能卡身份验证的更多信息,请参阅 Amazon WorkSpaces 管理指南

在为 WorkSpaces 启用智能卡身份验证之前,请查看以下先决条件:

CA 证书要求

AD Connector 需要证书颁发机构(CA)证书(代表用户证书的颁发者)用于智能卡身份验证。AD Connector 将 CA 证书与用户通过其智能卡提供的证书进行匹配。请注意以下 CA 证书要求:

  • CA 证书的有效期必须大于 90 天才能进行注册。

  • CA 证书必须采用隐私增强邮件(PEM)格式。如果要从 Active Directory 内部导出 CA 证书,请选择 Base64 编码的 X.509 (.CER) 作为导出文件格式。

  • 必须上传从颁发证书 CA 链接到用户证书的所有根证书和中间 CA 证书,智能卡身份验证才能成功。

  • 每个 AD Connector 目录最多可存储 100个 CA 证书

  • AD Connector 不支持 CA 证书的 RSASSA-PSS 签名算法。

  • 验证证书传播服务是否设置为“自动”且正在运行。

用户证书要求

以下是用户证书的一些要求:

  • 用户的智能卡证书具有用户的 userPrincipalName(UPN)的主题备用名称(SAN)。

  • 用户的智能卡证书使用增强型密钥用法作为智能卡登录(1.3.6.1.4.1.311.20.2.2)客户端身份验证(1.3.6.1.5.5.7.3.2)。

  • 用户智能卡证书的在线证书状态协议(OCSP)信息应为“颁发机构信息访问”中的“访问方法=在线证书状态协议(1.3.6.1.5.5.7.48.1)”。

有关 AD Connector 和智能卡身份验证要求的更多信息,请参阅《Amazon WorkSpaces 管理指南》中的要求。如需帮助对 Amazon WorkSpaces 问题进行故障排除,例如登录 WorkSpaces、重置密码或连接 WorkSpaces,请参阅《Amazon WorkSpaces 用户指南》中的对 WorkSpaces 客户端问题进行故障排除

证书吊销检查流程

为了执行智能卡身份验证,AD Connector 必须使用在线证书状态协议(OCSP)检查用户证书的吊销状态。要执行证书吊销检查,OCSP 响应程序 URL 必须可通过互联网访问。如果使用 DNS 名称,OCSP 响应程序 URL 必须使用互联网编号分配机构(IANA)根区域数据库中找到的顶级域。

AD Connector 证书吊销检查过程如下:

  • AD Connector 必须检查用户证书中的颁发机构信息访问(AIA)扩展以获取 OCSP 响应程序 URL,然后 AD Connector 使用该 URL 检查是否已吊销。

  • 如果 AD Connector 无法解析在用户证书 AIA 扩展中找到的 URL,也无法在用户证书中找到 OCSP 响应程序 URL,则 AD Connector 将使用在根 CA 证书注册期间提供的可选 OCSP URL。

    如果用户证书 AIA 扩展中的 URL 已解析但没有响应,则用户身份验证失败。

  • 如果在根 CA 证书注册期间提供的 OCSP 响应程序 URL 无法解析、无响应或未提供 OCSP 响应程序 URL,则用户身份验证失败。

  • OCSP 服务器必须符合 RFC 6960。此外,对于总共小于或等于 255 字节的请求,OCSP 服务器必须支持使用 GET 方法的请求。

注意

AD Connector 需要 OCSP 响应程序 URL 的 HTTP URL。

注意事项

在 AD Connector 中启用智能卡身份验证之前,请考虑以下事项:

  • AD Connector 使用基于证书的相互传输层安全行协议身份验证(相互 TLS),通过基于硬件或软件的智能卡证书对 Active Directory 的用户进行身份验证。目前仅支持通用访问卡(CAC)和个人身份验证(PIV)卡。其他类型的基于硬件或软件的智能卡可能可用,但尚未经过与 WorkSpaces Streaming Protocol 配合使用的测试。

  • 智能卡身份验证取代了 WorkSpaces 的用户名和密码身份验证。

    如果您在 AD Connector 目录中配置了其他 Amazon 应用程序并启用了智能卡身份验证,则这些应用程序仍会显示用户名和密码输入屏幕。

  • 启用智能卡身份验证会将用户会话时长限制为 Kerberos 服务票证的最大生命周期。您可以使用组策略配置此设置,默认情况下将其设置为 10 小时。有关该设置的更多信息,请参阅 Microsoft 文档

  • AD Connector 服务账户支持的 Kerberos 加密类型应与每个域控制器支持的 Kerberos 加密类型相匹配。

启用智能卡身份验证

要在 AD Connector 上启用 WorkSpaces 的智能卡身份验证,首先需要将证书颁发机构(CA)证书导入 AD Connector。您可以使用 Amazon Directory Service 控制台、APICLI 将您的 CA 证书导入 AD Connector。按照以下步骤导入您的 CA 证书,然后启用智能卡身份验证。

为 AD Connector 服务账户启用 Kerberos 约束委派

要对 AD Connector 使用智能卡身份验证,必须为 AD Connector 服务账户对自行管理 AD 目录中的 LDAP 服务启用 Kerberos 约束委托(KCD)

Kerberos 约束委托是 Windows Server 中的一项功能。此功能使管理员能够通过限制应用程序服务能够代表用户执行操作的范围,从而指定和实施应用程序信任边界。有关更多信息,请参阅 Kerberos 约束委托

注意

Kerberos 约束委托(KCD)要求 AD Connector 服务账户的用户名部分与同一用户的 sAMAccountName 相匹配。sAMAccountName 限制为 20 个字符。sAMAccountName 是 Microsoft Active Directory 的一种属性,用作先前版本的 Windows 客户端和服务器的登录名。

  1. 使用 SetSpn 命令为自行管理 AD 中的 AD Connector 服务账户设置服务主体名称(SPN)。这将启用委托配置的服务账户。

    SPN 可以是任何服务或名称组合,但不能与现有 SPN 重复。-s 检查是否存在重复项。

    setspn -s my/spn service_account
  2. AD 用户和计算机中,打开“上下文”(右键单击)菜单并选择“AD Connector 服务账户”,然后选择属性

  3. 选择委托选项卡。

  4. 选择仅信任此用户以委托到指定服务使用任何身份验证协议选项。

  5. 选择添加,然后选择用户或计算机以查找域控制器。

  6. 选择确定以显示用于委托的可用服务列表。

  7. 选择 ldap 服务类型,然后选择确定

  8. 再次选择确定以保存配置。

  9. 对 Active Directory 中的其他域控制器重复此过程。或者,您可以使用 PowerShell 自动执行该过程。

在 AD Connector 中注册 CA 证书

使用以下任一方法为您的 AD Connector 目录注册 CA 证书。

方法 1:在 AD Connector(Amazon Web Services Management Console)中注册您的证书
  1. Amazon Directory Service 控制台导航窗格中,选择目录

  2. 选择目录的目录 ID 链接。

  3. Directory details (目录详细信息) 页面上,选择 Networking & security (网络和安全性) 选项卡。

  4. 智能卡身份验证部分,选择操作,然后选择注册证书

  5. 注册 CA 证书对话框中,选择选择文件,然后选择证书并选择打开。您可以选择通过提供在线证书状态协议(OCSP)响应程序 URL 来对此证书执行吊销检查。有关 OCSP 的更多信息,请参阅 证书吊销检查流程

  6. 选择 Register certificate (注册证书)。当您看到证书状态更改为已注册时,表示注册过程已成功完成。

方法 2:在 AD Connector(Amazon CLI)中注册您的证书
  • 运行以下命令。对于证书数据,请指向 CA 证书文件的位置。要提供辅助 OCSP 响应程序地址,请使用可选的 ClientCertAuthSettings 对象。

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address

    如果成功,响应将提供证书 ID。您也可以通过运行以下 CLI 命令来验证您的 CA 证书是否注册成功:

    aws ds list-certificates --directory-id your_directory_id

    如果状态值返回 Registered,则表示您的证书已成功注册。

为支持的 Amazon 应用程序和服务启用智能卡身份验证

使用以下任一方法为您的 AD Connector 目录注册 CA 证书。

方法 1:在 AD Connector(Amazon Web Services Management Console)中启用智能卡身份验证
  1. 导航到目录详细信息页面上的智能卡身份验证部分,然后选择启用。如果此选项不可用,请验证有效证书是否已成功注册,然后重试。

  2. 启用智能卡身份验证对话框中,选择启用

方法 2:在 AD Connector(Amazon CLI)中启用智能卡身份验证
  • 运行以下命令。

    aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard

    如果成功,则 AD Connector 会返回带有空 HTTP 正文的 HTTP 200 响应。

有关查看证书、取消注册或禁用证书的更多信息,请参阅管理智能卡身份验证设置