为 Amazon 托管的 Microsoft AD 设置 AD Amazon Private CA 连接器 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon 托管的 Microsoft AD 设置 AD Amazon Private CA 连接器

你可以将你的 Amazon 托管 Microsoft AD 与 Amazon Private Certificate Authority (CA) 集成,为你颁发和管理证书 Active Directory 已加入域的用户、群组和计算机。 Amazon Private CA 连接器用于 Active Directory 允许您为自行管理的企业使用完全托管的 Amazon Private CA 嵌入式替代方案,CAs而无需部署、修补或更新本地代理或代理服务器。

注意

使用 Amazon Private CA 连接器注册 Amazon 托管 Microsoft AD 域控制器的服务器端LDAPS证书 Active Directory 目前不支持。要为目录启用服务器端,请参阅如何LDAPS为托管 Amazon Microsoft AD 目录启用服务器端LDAPS

您可以通过 Amazon Directory Service 控制台设置与目录的 Amazon Private CA 集成, Amazon Private CA 连接器用于 Active Directory 控制台,或者通过调用 CreateTemplateAPI. 通过 Amazon Private CA 连接器设置私有 CA 集成 Active Directory 控制台,请参阅创建连接器模板。请参阅以下步骤,了解如何从 Amazon Directory Service 控制台设置此集成。

为 AD 设置 Amazon Private CA 连接器

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Directory Service 控制台,网址为https://console.amazonaws.cn/directoryservicev2/

  2. 目录页面上,选择您的目录 ID。

  3. 在 “网络和安全” 选项卡下的 “AD Amazon Private CA 连接器” 下,选择 “为 AD 设置 Amazon Private CA 连接器”。“为其创建私有 CA 证书” 页面 Active Directory出现。按照控制台上的步骤为创建您的私有 CA Active Directory 用于向您的私有 CA 注册的连接器。有关更多信息,请参阅 Creating a connector

  4. 创建连接器后,以下步骤将引导您了解如何查看 AD Amazon Private CA 连接器的详细信息,包括连接器的状态和关联的私有 CA 的状态。

接下来,您将为 Amazon 托管的 Microsoft AD 配置组策略对象,以便适用于 AD 的 Amazon Private CA Connector 可以颁发证书。

AD 的查看 Amazon Private CA 连接器

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Directory Service 控制台,网址为https://console.amazonaws.cn/directoryservicev2/

  2. 目录页面上,选择您的目录 ID。

  3. 网络与安全性下的 Amazon Private CA Connector for AD 下,您可以查看您的私有 CA 连接器和关联的私有 CA。默认情况下,您会看到以下字段:

    1. Amazon Private CA 连接器 ID- Amazon Private CA 连接器的唯一标识符。点击它会进入该 Amazon Private CA 连接器的详细信息页面。

    2. Amazon Private CA 主题-有关 CA 的可分辨名称的信息。点击该字段会进入该 Amazon Private CA的详细信息页面。

    3. 状态 —基于对 Amazon Private CA 连接器的状态检查和 Amazon Private CA. 如果两项检查均通过,则会显示活动。如果其中一项检查失败,则会显示 1/2 检查失败。如果两项检查均失败,则会显示失败。有关失败状态的更多信息,请将鼠标悬停在超链接上以了解哪项检查失败。按照控制台中的说明进行修复。

    4. 创建日期- Amazon Private CA 连接器的创建日期。

有关更多信息,请参阅 View connector details

配置 AD 策略

需要配置适用于 AD 的 CA 连接器,以便 Amazon 托管 Microsoft AD 对象可以请求和接收证书。在此过程中,您将配置您的组策略对象 (GPO),以便 Amazon Private CA 可以向 Amazon 托管的 Microsoft AD 对象颁发证书。

  1. 连接到 Microsoft AD Amazon 托管管理实例,然后从 “开始” 菜单中打开服务器管理器

  2. 在 “工具” 下,选择 “组策略管理”。

  3. 在 “Forest and Domains” 下,找到您的子域组织单位 (OU)(例如,如果您遵循中概述的程序,则corp将成为您的子域组织单位创建你的 Microsoft Amazon 托管广告),然后右键单击您的子域 OU。选择 “在此域GPO中创建”,然后将其链接到此处... 然后PCAGPO输入名称。选择确定

  4. 新创建的域名GPO将显示在您的子域名之后。右键单击PCA GPO并选择 “编辑”。如果打开的对话框中显示一条警报消息 ,请选择 “确定” 以继续确认该消息。应该会打开 “组策略管理编辑器” 窗口。

  5. 在 “组策略管理编辑器” 窗口中,转到 “计算机配置” > “策略” > “Windows 设置” > “安全设置” > “公钥策略”(选择文件夹)

  6. 在 “对象类型” 下,选择 “证书服务客户端-证书注册策略”。

  7. 证书服务客户端-证书注册策略窗口中,将配置模型更改为启用

  8. 确认一下 Active Directory 注册政策选中启用。选择添加

  9. 应该会打开 “证书注册策略服务器” 对话框。在输入注册服务器策略URI字段中输入创建连接器时生成的证书注册策略服务器端点。将身份验证类型保留为 Windows 集成

  10. 选择验证。验证成功后,选择添加

  11. 返回到 “证书服务客户端-证书注册策略” 对话框并选中新创建的连接器旁边的复选框,以确保该连接器是默认的注册策略。

  12. 选择 Active Directory 注册策略,然后选择删除

  13. 在确认对话框中,选择 “” 以删除LDAP基于的身份验证。

  14. 在 “证书服务客户端-证书注册策略” 窗口中选择 “应用”,然后选择 “确定”。然后关闭窗口。

  15. 在 “公钥策略” 文件夹的 “对象类型” 下,选择 “证书服务客户端-自动注册”。

  16. 配置模型选项更改为启用

  17. 确认已选中 “续订过期证书” 和 “更新证书” 选项。保持其他设置不变。

  18. 选择应用,然后选择确定,然后关闭对话框。

接下来,您将为用户配置配置公钥策略。

  • 转到用户配置 > 策略 > Windows 设置 > 安全设置 > 公有密钥策略。按照前面的步骤 6 到步骤 21,为用户配置配置公钥策略。

配置GPOs完公钥策略后,域中的对象将从 Conn Amazon Private CA ector for AD 请求证书,并获得由颁发的证书 Amazon Private CA。

确认 Amazon Private CA 已签发证书

更新 Amazon Private CA 为你的 Amazon 托管 Microsoft AD 颁发证书的过程最多可能需要 8 个小时。

您可以执行以下操作之一:

  • 你可以等这段时间。

  • 您可以重新启动配置为从接收证书的 Amazon 托管 Microsoft AD 域加入的计算机 Amazon Private CA。然后,您可以按照中的步骤确认 Amazon Private CA 已向 Amazon 托管 Microsoft AD 域的成员颁发了证书 Microsoft 文档

  • 你可以使用以下 Windows PowerShell 命令更新你的 Amazon 托管 Microsoft AD 的证书:

    certutil -pulse