AWS Private CA Connector für AD für AWS Managed Microsoft AD einrichten - AWS Directory Service
AWS Private CA Connector für AD einrichtenAWS Private CA Connector für AD anzeigenKonfiguration von AD-RichtlinienBestätigung der AWS Private CA Ausstellung eines Zertifikats

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Private CA Connector für AD für AWS Managed Microsoft AD einrichten

Sie können Ihr AWS verwaltetes Microsoft AD mit AWS Private Certificate Authority (CA) integrieren, um Zertifikate für Ihre Active Directory domänengebundenen Benutzer, Gruppen und Maschinen auszustellen und zu verwalten. AWS Private CA Connector for Active Directory ermöglicht es Ihnen, einen vollständig verwalteten AWS Private CA Drop-In-Ersatz für Ihr selbstverwaltetes Unternehmen zu verwenden, CAs ohne lokale Agenten oder Proxyserver bereitstellen, patchen oder aktualisieren zu müssen.

Anmerkung

Die serverseitige Registrierung von LDAPS-Zertifikaten für AWS verwaltete Microsoft AD-Domänencontroller mit AWS Private CA Connector für Active Directory wird derzeit nicht unterstützt. Informationen zum Aktivieren serverseitiger LDAPS für Ihr Verzeichnis finden Sie unter So aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis.

Sie können die AWS Private CA Integration mit Ihrem Verzeichnis über die AWS Directory Service Konsole, den AWS Private CA Connector für die Konsole oder durch Active Directory Aufrufen der API einrichten. CreateTemplate Informationen zum Einrichten der Private CA-Integration über den AWS Private CA Connector für die Active Directory Konsole finden Sie unter Connector-Vorlage erstellen. In den folgenden Schritten erfahren Sie, wie Sie diese Integration von der AWS Directory Service Konsole aus einrichten.

AWS Private CA Connector für AD einrichten

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Directory Service Konsole unterhttps://console.aws.amazon.com/directoryservicev2/.

  2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.

  3. Wählen Sie auf der Registerkarte Anwendungsverwaltung und im Bereich AWS Apps und Dienste die Option AWS Private CA Connector for AD aus. Die Seite Privates CA-Zertifikat erstellen für Active Directory wird angezeigt. Folgen Sie den Schritten auf der Konsole, um Ihre private CA für den Active Directory Connector zu erstellen, um sich bei Ihrer privaten CA zu registrieren. Weitere Informationen finden Sie unter Einen Konnektor erstellen.

  4. Nachdem Sie Ihren Connector erstellt haben, erfahren Sie in den folgenden Schritten, wie Sie die Details des AWS Private CA Connectors für AD anzeigen können, einschließlich des Status des Connectors und des Status der zugehörigen privaten CA.

Als Nächstes konfigurieren Sie das Gruppenrichtlinienobjekt für Ihr AWS verwaltetes Microsoft AD, sodass AWS Private CA Connector for AD Zertifikate ausstellen kann.

AWS Private CA Connector für AD anzeigen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Directory Service Konsole unterhttps://console.aws.amazon.com/directoryservicev2/.

  2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.

  3. Auf der Registerkarte Anwendungsverwaltung und im Bereich AWS Apps und Dienste können Sie Ihre Private CA-Connectors und die zugehörige private CA einsehen. Standardmäßig sehen Sie die folgenden Felder:

    1. AWS Private CA Connector-ID — Die eindeutige Kennung für einen AWS Private CA Connector. Wenn Sie ihn auswählen, gelangen Sie zur Detailseite dieses AWS Private CA Connectors.

    2. AWS Private CA Betreff — Informationen über den eindeutigen Namen für die CA. Wenn Sie darauf klicken, gelangen Sie zur Detailseite dieses AWS Private CA.

    3. Status — Basierend auf einer Statusüberprüfung für den AWS Private CA Connector und den AWS Private CA. Wenn beide Prüfungen erfolgreich sind, wird Aktiv angezeigt. Wenn eine der Prüfungen fehlschlägt, wird 1/2 Prüfungen fehlgeschlagen angezeigt. Wenn beide Prüfungen fehlschlagen, wird Fehlgeschlagen angezeigt. Weitere Informationen über den Status „fehlgeschlagen“ erhalten Sie, wenn Sie den Mauszeiger über den Hyperlink bewegen, um zu erfahren, welche Prüfung fehlgeschlagen ist. Folgen Sie den Anweisungen in der Konsole, um das Problem zu beheben.

    4. Erstellungsdatum — Der Tag, an dem der AWS Private CA Connector erstellt wurde.

Weitere Informationen finden Sie unter Konnektor-Details anzeigen.

Konfiguration von AD-Richtlinien

CA Connector für AD muss so konfiguriert werden, dass AWS verwaltete Microsoft AD-Objekte Zertifikate anfordern und empfangen können. In diesem Verfahren konfigurieren Sie Ihr Gruppenrichtlinienobjekt (GPO) so, dass Zertifikate für AWS verwaltete Microsoft AD-Objekte ausgestellt werden AWS Private CA können.

  1. Connect zur AWS verwalteten Microsoft AD-Administrationsinstanz her und öffnen Sie den Server Manager über das Startmenü.

  2. Wählen Sie unter Tools die Option Gruppenrichtlinienverwaltung aus.

  3. Suchen Sie unter Gesamtstruktur und Domänen nach Ihrer Subdomänen-Organisationseinheit (OU) (corpdies wäre beispielsweise Ihre Subdomänen-Organisationseinheit, wenn Sie die unter beschriebenen Verfahren befolgen würdenIhr AWS verwaltetes Microsoft AD erstellen) und klicken Sie mit der rechten Maustaste auf Ihre Subdomänen-Organisationseinheit. Wählen Sie GPO in dieser Domain erstellen aus und verknüpfen Sie es hier... und geben Sie PCA GPO als Namen ein. Wählen Sie OK.

  4. Das neu erstellte Gruppenrichtlinienobjekt wird nach Ihrem Subdomänennamen angezeigt. Klicken Sie mit der rechten Maustaste auf PCA GPO und wählen Sie Bearbeiten. Wenn ein Dialogfeld mit einer Warnmeldung geöffnet wird , bestätigen Sie die Meldung, indem Sie OK wählen, um fortzufahren. Das Fenster des Group Policy Management Editors sollte geöffnet werden.

  5. Gehen Sie im Fenster des Gruppenrichtlinienverwaltungs-Editors zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel (wählen Sie den Ordner aus).

  6. Wählen Sie unter Objekttyp die Option Certificate Services Client — Certificate Enrollment Policy aus.

  7. Ändern Sie im Fenster Certificate Services Client — Certificate Enrollment Policy das Konfigurationsmodell auf Aktiviert.

  8. Vergewissern Sie sich, dass die Active DirectoryRegistrierungsrichtlinie aktiviert und aktiviert ist. Wählen Sie Hinzufügen aus.

  9. Das Dialogfeld Certificate Enrollment Policy Server sollte geöffnet werden. Geben Sie den Endpunkt des Zertifikatsregistrierungsrichtlinienservers, der bei der Erstellung Ihres Connectors generiert wurde, in das Feld Registrierungsserver-Richtlinien-URI eingeben ein. Belassen Sie den Authentifizierungstyp auf Windows integrated.

  10. Wählen Sie Validieren. Wählen Sie nach erfolgreicher Überprüfung Hinzufügen aus.

  11. Kehren Sie zum Dialogfeld Certificate Services Client — Certificate Enrollment Policy zurück und aktivieren Sie das Kästchen neben dem neu erstellten Connector, um sicherzustellen, dass es sich bei dem Connector um die Standardregistrierungsrichtlinie handelt.

  12. Wählen Sie Active Directory-Registrierungsrichtlinie und anschließend Entfernen aus.

  13. Wählen Sie im Bestätigungsdialogfeld Ja aus, um die LDAP-basierte Authentifizierung zu löschen.

  14. Klicken Sie im Fenster Certificate Services Client — Certificate Enrollment Policy auf Anwenden und anschließend auf OK. Schließen Sie dann das Fenster.

  15. Wählen Sie unter Objekttyp für den Ordner Public Key Policies die Option Certificate Services Client — Auto-Enrollment aus.

  16. Ändern Sie die Option „Konfigurationsmodell“ auf Aktiviert.

  17. Vergewissern Sie sich, dass die Optionen Abgelaufene Zertifikate verlängern und Zertifikate aktualisieren aktiviert sind. Lassen Sie die anderen Einstellungen unverändert.

  18. Wählen Sie Anwenden und dann OK und schließen Sie das Dialogfeld.

Als Nächstes konfigurieren Sie die Public Key-Richtlinien für die Benutzerkonfiguration.

  • Gehen Sie zu Benutzerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel. Folgen Sie den vorherigen Verfahren von Schritt 6 bis Schritt 21, um die Richtlinien für öffentliche Schlüssel für die Benutzerkonfiguration zu konfigurieren.

Sobald Sie die Konfiguration GPOs und die Public Key-Richtlinien abgeschlossen haben, fordern Objekte in der Domain Zertifikate von AWS Private CA Connector for AD an und erhalten Zertifikate, die von ausgestellt wurden AWS Private CA.

Bestätigung der AWS Private CA Ausstellung eines Zertifikats

Die Aktualisierung AWS Private CA zur Ausstellung von Zertifikaten für Ihr AWS Managed Microsoft AD kann bis zu 8 Stunden dauern.

Sie können einen der folgenden Schritte ausführen:

  • Sie können diesen Zeitraum abwarten.

  • Sie können die mit der AWS verwalteten Microsoft AD-Domäne verbundenen Maschinen neu starten, die für den Empfang von Zertifikaten von konfiguriert wurden AWS Private CA. Anschließend können Sie bestätigen, dass der Zertifikate für Mitglieder Ihrer AWS verwalteten Microsoft AD-Domäne ausgestellt AWS Private CA hat, indem Sie das in der MicrosoftDokumentation beschriebene Verfahren befolgen.

  • Sie können den folgenden PowerShell Befehl verwenden, um die Zertifikate für Ihr AWS verwaltetes Microsoft AD zu aktualisieren:

    certutil -pulse