本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建连接器模板
创建连接器模板(控制台)
完成以下过程以使用 Amazon 控制台创建和配置连接器模板。
任务
打开控制台
登录您的 Amazon 账户并从 https://console.aws.amazon.com/pca-connector-ad/home 打开 Amazon Private CA Connector for Active Directory 控制台。
选择连接器
从适用于 Active Directory 的连接器列表中选择一个连接器,然后选择查看详细信息。
找到模板部分
在连接器的详细信息页面上,找到模板部分,然后选择创建模板。
模板创建方法
在创建模板页面的模板创建方法部分,选择其中一个方法选项。
-
从预定义的模板开始(默认值)– 从 AD 应用程序的预定义模板列表中进行选择:
-
代码签名
-
计算机
-
域控制器身份验证
-
EFS 恢复代理
-
注册代理
-
注册代理(计算机)
-
IPSec
-
Kerberos 身份验证
-
RAS 和 IAS 服务器
-
智能卡登录
-
信任列表签名
-
用户签名
-
工作站身份验证
-
-
从您创建的现有模板开始 – 从您之前创建的自定义模板列表中进行选择。
-
从空白模板开始 – 选择此选项可开始创建全新的模板。
模板设置
在模板设置部分中,提供以下信息:
-
模板名称 – 模板的名称
-
模板架构版本 – 模板的架构版本。架构版本会影响模板选项的可用性,如下所示:
架构版本 2
-
支持 Windows XP/Windows Server 2003 及更高版本的客户端兼容性。
-
仅支持传统加密服务提供程序。
架构版本 3
-
支持 Windows Vista/Windows Server 2008 及更高版本的客户端兼容性。
-
支持允许请求者使用现有密钥进行续订。
-
仅支持密钥存储提供程序。
架构版本 4
-
支持 Windows 8/Windows Server 2012 及更高版本的客户端兼容性。
-
支持允许请求者使用现有密钥进行续订。
-
支持传统加密服务提供程序和密钥存储提供程序。
-
-
客户端兼容性 – 与模板兼容的最低操作系统级别。请选择列出的选项之一:
-
Windows XP/Windows Server 2003
-
Windows Vista/Windows Server 2008
-
Windows 7/Windows Server 2008 R2
-
Windows 8 及更高版本/Windows Server 2012
-
Windows 8 及更高版本/Windows Server 2012 R2
-
Windows 8 及更高版本/Windows Server 2016 及更高版本
-
配置证书设置
在证书设置部分,根据此模板定义证书的以下设置。
-
证书类型 – 指定是创建用户证书还是计算机证书。
-
自动注册 – 根据此模板选择是否激活证书的自动注册。
-
有效期 – 将证书有效期指定为小时、天、周、月或年的整数值。最小值为 2 小时。
-
续订期限 – 将证书续订期限指定为小时、天、周、月或年的整数值。续订期限不得超过有效期的 75%。
-
使用者名称 – 根据 Active Directory 中包含的信息,选择要包含在使用者名称中的一个或多个选项。
注意
必须至少指定一个使用者名称或使用者备用名称选项。
-
公用名
-
将 DNS 作为公用名
-
目录路径
-
电子邮件
-
-
使用者备用名称 – 根据 Active Directory 中包含的信息,选择要包含在使用者备用名称中的一个或多个选项。
注意
必须至少指定一个使用者名称或使用者备用名称选项。
-
目录 GUID
-
DNS 名称
-
域 DNS
-
电子邮件
-
服务主体名称(SPN)
-
用户主体名称(UPN)
-
配置请求处理和注册设置
在证书请求处理和注册选项部分,根据模板指定证书的用途,选择以下选项之一。
-
签名
-
加密
-
签名和加密
-
签名和智能卡登录
接下来,选择要激活以下哪些功能。选项因证书用途而有所不同。
-
删除无效的证书(不存档)
-
包括对称算法
-
可导出的私有密钥
最后,选择证书注册选项。选项因证书用途而有所不同。
-
无需用户输入
-
在注册期间提示用户
-
在注册期间提示用户并需要用户输入
配置密钥用法扩展
在密钥用法扩展部分,选择签名和加密密钥使用的用法选项。
签名密钥使用
-
数字签名
-
签名是来源证明(不可否认性)
加密密钥使用
-
允许不带密钥加密的密钥交换(密钥协议)
-
仅允许带密钥加密的密钥交换(密钥加密)
-
允许用户数据的加密(数据加密)
您也可以为两种类型的密钥选择将将密钥用法扩展设为至关重要。
分配应用程序策略
在应用程序策略部分,选择所有适用的应用程序策略。可用策略在多个页面中列出。某些策略可能是由于之前的设置而预先选择的。
配置自定义应用程序策略
在自定义应用程序策略部分,您可以向模板添加自定义 OID,并指定应用程序策略扩展是否至关重要。
配置加密设置
在加密设置部分,根据此模板为证书选择以下类别的加密设置。
-
该部分顶部的内容由您之前选择的 模板创建方法 和 模板设置 确定。
-
如果您接受了 模板设置 中默认的模板版本 2,则此处会显示以下状态消息:
-
加密提供程序类别
-
传统加密服务提供程序
在这种情况下,无需配置任何设置,您可以继续执行下一步。
-
-
如果您在 模板设置 中指定了模板版本 3,则此处会显示以下状态消息:
-
加密提供程序类别
-
密钥存储提供程序
您还必须从列出的选项 ECDH_P256、ECDH_P384、ECDH_P521 和 RSA 中选择密钥算法。
-
-
如果您在 模板设置 中指定了模板版本 4,则必须在密钥存储提供程序和传统加密服务提供程序之间进行选择。如果您选择密钥存储提供程序,则还必须从列出的选项 ECDH_P256、ECDH_P384、ECDH_P521 和 RSA 中选择密钥算法。
-
-
最小密钥大小(位)– 指定最小密钥大小。此设置将影响可用的加密提供程序。
-
选择可用于请求的加密提供程序 – 选择两个可用选项之一:
-
请求可以使用在使用者计算机上可用的任何提供程序
-
请求必须使用以下选定的提供程序之一
选择此选项会打开加密提供程序列表。您可以使用顺序列中的按钮选择提供程序并确定其优先级。支持以下提供程序:
-
Microsoft Base 加密提供程序 v1.0
-
Microsoft Base DSS 和 Diffie-Hellman 加密提供程序
-
Microsoft Base Smart Card 加密提供程序
-
Microsoft DH SChannel 加密提供程序
-
Microsoft 增强型加密提供程序 v1.0
-
Microsoft 增强型 DSS 和 Diffie-Hellman 加密提供程序
-
Microsoft 增强型 RSA 和 AES 加密提供程序
-
Microsoft RSA SChannel 加密提供程序
-
-
配置组和权限
在组和权限部分,您可以查看模板现有组和注册权限,也可以选择添加新的组和权限按钮来添加新的组和权限。该按钮将打开一个需要以下信息的表单:
-
显示名称
-
安全标识符(SID)
-
注册,选项为:允许 | 拒绝 | 未设置
-
自动注册,选项为:允许 | 拒绝 | 未设置
配置取代模板
在替代模板部分中,您可以通知 Active Directory 当前模板取代在 AD 中创建的一个或多个模板。通过选择添加 Active Directory 模板以取代并指定取代模板的通用名称来应用取代模板。
配置标记
在标签:可选窗格中,您可以在 AD 资源上应用和移除元数据。标签是键值字符串对,其中键对于资源必须是唯一的,而值是可选的。该窗格在表中显示资源的任何现有标签。支持以下操作。
-
选择管理标签以打开管理标签页面。
-
选择“添加新标签”以创建标签。填写键字段和(可选)值字段。选择保存更改以应用标签。
-
选择标签旁边的删除按钮将其标记为删除,然后选择保存更改进行确认。
审核和创建
提供所需信息并检查您的选择后,选择创建模板。这将打开模板详细信息,您可以在其中查看新模板的设置、编辑或删除模板、管理组和权限、管理被取代的模板、管理标签以及为证书持有者设置自动重新注册。
创建连接器模板(CLI)
在 Amazon CLI 的 Amazon Private CA Connector for Active Directory 部分中使用 create-template 命令。
创建连接器模板(API)
使用 Amazon Private CA Connector for Active Directory API 中的 CreateTemplate 操作。