本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
先决条件
使用智能卡为亚马逊启用 mTLS 身份验证WorkSpaces客户端,您需要一个可操作的智能卡基础架构与您的自我管理的 AD 集成。有关如何使用亚马逊设置智能卡身份验证的更多信息WorkSpaces还有 AD,参见亚马逊WorkSpaces管理指南。
在启用智能卡身份验证之前WorkSpaces,请查看以下注意事项:
CA 证书要求
AD Connector 需要证书颁发机构 (CA) 证书来进行智能卡身份验证,该证书代表您的用户证书的颁发者。AD Connector 将 CA 证书与您的用户用智能卡出示的证书进行匹配。请注意以下 CA 证书要求:
-
在注册 CA 证书之前,其到期时间必须超过 90 天。
-
CA 证书必须采用隐私增强邮件 (PEM) 格式。如果您从 Active Directory 内部导出 CA 证书,请选择 Base64 编码的 X.509 (.CER) 作为导出文件格式。
-
必须上传从颁发的 CA 到用户证书的所有根证书和中间 CA 证书,智能卡身份验证才能成功。
-
每个 AD 连接器目录最多可存储 100 个 CA 证书
-
AD 连接器不支持 CA 证书的 RSASSA-PSS 签名算法。
用户证书要求
向 AD 连接器提供的用户证书必须包括userPrincipalName
(UPN)中的 AD 用户的subjectAltName (SAN)证书字段。
证书吊销检查流程
为了执行智能卡身份验证,AD Connector 必须使用在线证书状态协议 (OCSP) 检查用户证书的吊销状态。要执行证书吊销检查,OCSP 响应者 URL 必须可通过互联网访问。如果使用 DNS 名称,OCSP 响应器 URL 必须使用在中找到的顶级域互联网号码分配机构 (IANA) 根区域数据库
AD 连接器证书吊销检查使用以下过程:
-
AD Connector 必须检查用户证书中的权限信息访问 (AIA) 扩展插件中是否有 OCSP 响应者 URL,然后 AD Connector 使用该 URL 检查撤销情况。
-
如果 AD Connector 无法解析用户证书 AIA 扩展中找到的 URL,也无法在用户证书中找到 OCSP 响应器 URL,则 AD Connector 将使用根 CA 证书注册期间提供的可选 OCSP URL。
如果用户证书 AIA 扩展中的 URL 已解析但没有响应,则用户身份验证会失败。
-
如果在根 CA 证书注册期间提供的 OCSP 响应器 URL 无法解析、无响应或未提供 OCSP 响应器 URL,则用户身份验证会失败。
注意
AD 连接器需要HTTPOCSP 响应者网址的网址。
其他考虑因素
在 AD Connector 中启用智能卡身份验证之前,请考虑以下事项:
-
AD Connector 使用基于证书的双向传输层安全身份验证(双向 TLS)使用基于硬件或软件的智能卡证书对 Active Directory 进行身份验证。目前仅支持普通访问卡 (CAC) 和个人身份验证 (PIV) 卡。其他类型的基于硬件或软件的智能卡可能可以使用,但尚未经过测试,可用于WorkSpaces流媒体协议。
-
智能卡身份验证取代了用户名和密码身份验证WorkSpaces。
如果你还有其他Amazon在 AD Connector 目录上配置了启用智能卡身份验证的应用程序,这些应用程序仍显示用户名和密码输入屏幕。
-
启用智能卡身份验证会将用户会话长度限制为 Kerberos 服务票证的最大生命周期。您可以使用组策略配置此设置,默认情况下设置为 10 小时。有关此设置的更多信息,请参阅微软文档
。