创建连接器模板 - Amazon Private Certificate Authority
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建连接器模板

模板是证书颁发后的外观以及客户端应如何处理证书的配置列表。以下过程说明了如何创建模板。

Console
使用控制台创建模板
  1. 登录您的 Amazon 账户,然后打开 Active Directory Amazon Private CA 连接器控制台,网址为https://console.aws.amazon.com/pca-connector-ad/home

  2. 适用于 Active Directory 的连接器列表中选择一个连接器,然后选择查看详细信息

  3. 在连接器的详细信息页面上,找到模板部分,然后选择创建模板

  4. 创建模板页面的模板创建方法部分,选择其中一个方法选项。

    • 从预定义的模板开始(默认值)– 从 AD 应用程序的预定义模板列表中进行选择:

      • 代码签名

      • 计算机

      • 域控制器身份验证

      • EFS恢复代理

      • 注册代理

      • 注册代理(计算机)

      • IPSec

      • Kerberos 身份验证

      • RAS和IAS服务器

      • 智能卡登录

      • 信任列表签名

      • 用户签名

      • 工作站身份验证

    • 从您创建的现有模板开始 – 从您之前创建的自定义模板列表中进行选择。

    • 从空白模板开始 – 选择此选项可开始创建全新的模板。

  5. 证书设置部分,根据此模板定义证书的以下设置。

    • 证书类型 – 指定是创建用户证书还是计算机证书。

    • 自动注册 – 根据此模板选择是否激活证书的自动注册。

    • 有效期 – 将证书有效期指定为小时、天、周、月或年的整数值。最小值为 2 小时。

    • 续订期限 – 将证书续订期限指定为小时、天、周、月或年的整数值。续订期限不得超过有效期的 75%。

    • 使用者名称 – 根据 Active Directory 中包含的信息,选择要包含在使用者名称中的一个或多个选项。

      注意

      必须至少指定一个使用者名称或使用者备用名称选项。

      • 公用名

      • DNS作为常用名

      • 目录路径

      • 电子邮件

    • 使用者备用名称 – 根据 Active Directory 中包含的信息,选择要包含在使用者备用名称中的一个或多个选项。

      注意

      必须至少指定一个使用者名称或使用者备用名称选项。

      • 名录 GUID

      • DNS名字

      • 域名 DNS

      • 电子邮件

      • 服务主体名称 (SPN)

      • 用户主体名称 (UPN)

  6. 证书请求处理和注册选项部分,根据模板指定证书的用途,选择以下选项之一。

    • 签名

    • 加密

    • 签名和加密

    • 签名和智能卡登录

    接下来,选择要激活以下哪些功能。选项因证书用途而有所不同。

    • 删除无效的证书(不存档)

    • 包括对称算法

    • 可导出的私有密钥

    最后,选择证书注册选项。选项因证书用途而有所不同。

    • 无需用户输入

    • 在注册期间提示用户

    • 在注册期间提示用户并需要用户输入

  7. 应用程序策略部分,选择所有适用的应用程序策略。可用策略在多个页面中列出。某些策略可能是由于之前的设置而预先选择的。

  8. 自定义应用程序策略部分,您可以OIDs向模板添加自定义策略,并指定应用程序策略扩展是否重要。

  9. 加密设置部分,根据此模板为证书选择以下类别的加密设置。

  10. 组和权限部分,您可以查看模板现有组和注册权限,也可以选择添加新的组和权限按钮来添加新的组和权限。该按钮将打开一个需要以下信息的表单:

    • 显示名称

    • 安全标识符 (SID)

    • 报名,有选项 ALLOW | DENY | NOT SET

    • 自动注册,有选项 ALLOW | | DENY NOT SET

  11. 替代模板部分中,您可以通知 Active Directory 当前模板取代在 AD 中创建的一个或多个模板。通过选择添加 Active Directory 模板以取代并指定取代模板的通用名称来应用取代模板。

  12. 标签:可选窗格中,您可以在 AD 资源上应用和移除元数据。标签是键值字符串对,其中键对于资源必须是唯一的,而值是可选的。该窗格在表中显示资源的任何现有标签。支持以下操作。

    • 选择管理标签以打开管理标签页面。

    • 选择“添加新标签”以创建标签。填写字段和(可选)字段。选择保存更改以应用标签。

    • 选择标签旁边的删除按钮将其标记为删除,然后选择保存更改进行确认。

  13. 提供所需信息并检查您的选择后,选择创建模板。这将打开模板详细信息,您可以在其中查看新模板的设置、编辑或删除模板、管理组和权限、管理被取代的模板、管理标签以及为证书持有者设置自动重新注册。

API

要使用创建连接器模板 API

使用 Active Directory Amazon Private CA 连接器中的 CreateTemplate操作API。

CLI

要使用创建连接器模板 Amazon CLI

在 Activ e Directory 的 Amazon Private CA 连接器部分使用创建模板命令。 Amazon CLI