先决条件 - Amazon Directory Service
CA 证书要求用户证书要求证书吊销检查流程其他考虑因素
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

先决条件

要使用智能卡为 Amazon WorkSpaces 客户端启用基于证书的相互传输层安全 (mTLS) 身份验证,您需要将可操作的智能卡基础设施与您的自我管理相集成。Active Directory有关如何使用亚马逊 WorkSpaces 和设置智能卡身份验证的更多信息Active Directory,请参阅《亚马逊 WorkSpaces 管理指南》

在为启用智能卡身份验证之前 WorkSpaces,请查看以下注意事项:

CA 证书要求

AD Connector 需要证书颁发机构(CA)证书(代表用户证书的颁发者)用于智能卡身份验证。AD Connector 将 CA 证书与用户通过其智能卡提供的证书进行匹配。请注意以下 CA 证书要求:

  • CA 证书的有效期必须大于 90 天才能进行注册。

  • CA 证书必须采用隐私增强邮件(PEM)格式。如果要从 Active Directory 内部导出 CA 证书,请选择 Base64 编码的 X.509 (.CER) 作为导出文件格式。

  • 必须上传从颁发证书 CA 链接到用户证书的所有根证书和中间 CA 证书,智能卡身份验证才能成功。

  • 每个 AD Connector 目录最多可存储 100个 CA 证书

  • AD Connector 不支持 CA 证书的 RSASSA-PSS 签名算法。

  • 验证证书传播服务是否设置为 “自动” 且正在运行。

用户证书要求

以下是用户证书的一些要求:

  • 用户的智能卡证书具有用户的使用者备用名称 (SAN) userPrincipalName (UPN)。

  • 用户的智能卡证书使用增强型密钥用法作为智能卡登录 (1.3.6.1.4.1.311.20.2.2) 客户端身份验证 (1.3.6.1.5.5.7.3.2)。

  • 用户智能卡证书的在线证书状态协议 (OCSP) 信息应为 “权限信息访问” 中的 “访问方法=在线证书状态协议 (1.3.6.1.5.5.7.48.1)”。

有关 AD Connector 和智能卡身份验证要求的更多信息,请参阅《亚马逊 WorkSpaces 管理指南》中的要求。有关解决亚马逊 WorkSpaces 问题(例如登录 WorkSpaces、重置密码或连接到)的帮助 WorkSpaces,请参阅《亚马逊 WorkSpaces 用户指南》中的 “解决 WorkSpaces 客户问题”。

证书吊销检查流程

为了执行智能卡身份验证,AD Connector 必须使用在线证书状态协议(OCSP)检查用户证书的吊销状态。要执行证书吊销检查,OCSP 响应程序 URL 必须可通过互联网访问。如果使用 DNS 名称,OCSP 响应程序 URL 必须使用互联网编号分配机构(IANA)根区域数据库中找到的顶级域。

AD Connector 证书吊销检查过程如下:

  • AD Connector 必须检查用户证书中的颁发机构信息访问(AIA)扩展以获取 OCSP 响应程序 URL,然后 AD Connector 使用该 URL 检查是否已吊销。

  • 如果 AD Connector 无法解析在用户证书 AIA 扩展中找到的 URL,也无法在用户证书中找到 OCSP 响应程序 URL,则 AD Connector 将使用在根 CA 证书注册期间提供的可选 OCSP URL。

    如果用户证书 AIA 扩展中的 URL 已解析但没有响应,则用户身份验证失败。

  • 如果在根 CA 证书注册期间提供的 OCSP 响应程序 URL 无法解析、无响应或未提供 OCSP 响应程序 URL,则用户身份验证失败。

  • OCSP 服务器必须符合 RFC 6960。此外,对于总共小于或等于 255 字节的请求,OCSP 服务器必须支持使用 GET 方法的请求。

注意

AD Connector 需要 OCSP 响应程序 URL 的 HTTP URL。

其他考虑因素

在 AD Connector 中启用智能卡身份验证之前,请考虑以下事项:

  • AD Connector 使用基于证书的相互传输层安全行协议身份验证(相互 TLS),通过基于硬件或软件的智能卡证书对 Active Directory 的用户进行身份验证。目前仅支持通用访问卡(CAC)和个人身份验证(PIV)卡。其他类型的基于硬件或软件的智能卡可能可以使用,但尚未经过与 WorkSpaces流媒体协议配合使用的测试。

  • 智能卡身份验证取代了用户名和密码身份验证 WorkSpaces。

    如果您在 AD Connector 目录中配置了其他 Amazon 应用程序并启用了智能卡身份验证,则这些应用程序仍会显示用户名和密码输入屏幕。

  • 启用智能卡身份验证会将用户会话时长限制为 Kerberos 服务票证的最大生命周期。您可以使用组策略配置此设置,默认情况下将其设置为 10 小时。有关该设置的更多信息,请参阅 Microsoft 文档

  • AD Connector 服务账户支持的 Kerberos 加密类型应与每个域控制器支持的 Kerberos 加密类型相匹配。