本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
开始使用活动目录 Amazon Private CA 连接器
使用 Active Directory Amazon Private CA 连接器,您可以将私有 CA 中的证书颁发给您的 Active Directory 对象进行身份验证和加密。创建连接器时, Amazon Private Certificate Authority 会在您的VPC目录对象中为您创建一个终端节点,以请求证书。
要颁发证书,您需要创建连接器以及该连接器的 AD 兼容模板。创建模板时,您可以设置 AD 组的注册权限。
开始前的准备工作
以下教程将指导您完成为 AD 创建连接器和连接器模板的过程。要学习本教程,您必须首先满足本节中列出的先决条件。
步骤 1:创建连接器
要创建连接器,请参阅为活动目录创建连接器。
步骤 2:配置微软 Active Directory 策略
AD 连接器无法查看或管理客户的组策略对象 (GPO) 配置。GPO控制将 AD 请求路由到客户或其他身份验证 Amazon 私有 CA 或证书自动售货服务器。无效的GPO配置可能会导致您的请求路由不正确。由客户来配置和测试 Connector for AD 配置。
组策略与连接器相关联,您可以选择为一个 AD 创建多个连接器。如果每个连接器的组策略配置不同,则由您来管理对每个连接器的访问控制。
数据平面调用的安全性取决于 Kerberos 和您的VPC配置。只要通过相应的 AD 的身份验证,任何有权访问的人VPC都可以拨打数据平面呼叫。这存在于边界之外,管理授权和身份验证由您(客户)决定。 AWSAuth
在 Active Directory 中GPO,按照以下步骤创建指向创建连接器时URI生成的。要通过控制台或命令行使用 Connector for AD,需要执行此步骤。
配置GPOs。
-
在 DC 上打开服务器管理器
-
转到工具,然后选择控制台右上角的组策略管理。
-
转到林 > 域。选择您的域名,然后右键单击您的域。选择 “在此域GPO中创建”,然后将其链接到此处... 然后输入
PCA GPO
名称。 -
现在,新创建的域名GPO将列在您的域名下。
-
选择PCAGPO并选择 “编辑”。如果打开的对话框显示警报消息这是一个链接,更改将在全球范围内传播,请确认该消息以继续。组策略管理编辑器应打开。
-
在组策略管理编辑器中,转到计算机配置 > 策略 > Windows 设置 > 安全设置 > 公有密钥策略(选择文件夹)。
-
转到对象类型并选择证书服务客户端 – 证书注册策略
-
在选项中,将配置模型更改为启用。
-
确认已选中并启用 Active Directory 注册策略。选择 添加。
-
此时应打开证书注册策略服务器窗口。
-
在输入注册服务器策略URI字段中输入创建连接器时生成的证书注册策略服务器端点。
-
将身份验证类型保留为 Windows 集成。
-
选择验证。验证成功后,选择添加。对话框关闭。
-
返回证书服务客户端 – 证书注册策略并选中新创建的连接器旁边的复选框以确保连接器为默认注册策略
-
选择 Active Directory 注册策略,然后选择删除。
-
在确认对话框中,选择 “是” 以删除LDAP基于的身份验证。
-
在证书服务客户端>证书注册策略窗口中选择应用和确定,然后将其关闭。
-
转到公有密钥策略文件夹,然后选择证书服务客户端 – 自动注册。
-
将配置模型选项更改为启用。
-
确认续订过期的证书和更新证书均已选中。保持其他设置不变。
-
选择 “应用”,然后选择 “确定”,然后关闭对话框。
接下来,配置用户配置的公有密钥策略。转到用户配置 > 策略 > Windows 设置 > 安全设置 > 公有密钥策略。按照步骤 6 到步骤 21 中概述的步骤配置用户配置的公有密钥策略。
配置GPOs完公钥策略后,域中的对象将从 Conn Amazon 私有 CA ector for AD 请求证书,并获得由颁发的证书 Amazon 私有 CA。
步骤 3:创建模板
要创建模板,请参阅创建连接器模板。
步骤 4:配置微软群组权限
要配置 Microsoft 群组权限,请参阅管理 AD 模板访问控制条目的连接器。