Requisitos previos - AWS Directory Service
Requisitos del certificado de CARequisitos del certificado de usuarioProceso de comprobación de la revocación de certificadosOtras consideraciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos

Para habilitar la autenticación mutua de Transport Layer Security (mTLS) basada en certificados mediante tarjetas inteligentes para el WorkSpaces cliente de Amazon, necesita una infraestructura de tarjetas inteligentes operativa integrada en su sistema autogestionado. Active Directory Para obtener más información sobre cómo configurar la autenticación con tarjeta inteligente con Amazon WorkSpaces Active Directory, consulta la Guía de WorkSpaces administración de Amazon.

Antes de activar la autenticación con tarjeta inteligente WorkSpaces, revise las siguientes consideraciones:

Requisitos del certificado de CA

Conector AD requiere un certificado de entidad de certificación (CA), que representa al emisor de los certificados de usuario, para la autenticación con tarjeta inteligente. Conector AD hace coincidir los certificados de CA con los certificados presentados por los usuarios con sus tarjetas inteligentes. Tenga en cuenta los siguientes requisitos de los certificados de CA:

  • Antes de registrar un certificado de CA, deben quedar más de 90 días para que caduque.

  • Los certificados de CA deben estar en formato Privacy-Enhanced Mail (PEM). Si exporta certificados de CA desde Active Directory, elija X.509 (.CER) codificado en base64 como formato de archivo de exportación.

  • Para que la autenticación con tarjeta inteligente se haga correctamente, se deben cargar todos los certificados de CA raíz e intermediaria que van desde la CA emisora hasta los certificados de usuario.

  • Se puede almacenar un máximo de 100 certificados de entidad de certificación por directorio del Conector AD.

  • Conector AD no admite el algoritmo de firma RSASSA-PSS para los certificados de CA.

  • Compruebe que el Servicio de propagación de certificados esté configurado como Automático y en ejecución.

Requisitos del certificado de usuario

Los siguientes son algunos de los requisitos del certificado de usuario:

  • El certificado de tarjeta inteligente del usuario tiene un nombre alternativo del sujeto (SAN) del usuario userPrincipalName (UPN).

  • El certificado de tarjeta inteligente del usuario tiene un uso de claves mejorado al iniciar sesión con la tarjeta inteligente (1.3.6.1.4.1.311.20.2.2). Autenticación del cliente (1.3.6.1.5.5.7.3.2).

  • La información del Protocolo de estado de certificados en línea (OCSP) para el certificado de tarjeta inteligente del usuario debe ser Método de acceso = Protocolo de estado de certificado en línea (1.3.6.1.5.5.7.48.1) en el Authority Information Access.

Para obtener más información sobre los requisitos de autenticación de AD Connector y tarjetas inteligentes, consulta los requisitos de la Guía de WorkSpaces administración de Amazon. Para obtener ayuda para solucionar WorkSpaces problemas de Amazon, como iniciar sesión WorkSpaces, restablecer la contraseña o conectarse a WorkSpaces, consulta Solución de problemas con los WorkSpaces clientes en la Guía WorkSpaces del usuario de Amazon.

Proceso de comprobación de la revocación de certificados

Para llevar a cabo la autenticación con tarjeta inteligente, Conector AD debe comprobar el estado de revocación de los certificados de usuario mediante el protocolo Online Certificate Status Protocol (OCSP). Para llevar a cabo la comprobación la revocación de certificados, la URL de un agente de respuesta OCSP ser accesible desde Internet. Si usa un nombre de DNS, la URL de un agente de respuesta OCSP debe usar un dominio de nivel superior que se encuentre en la Base de datos de la zona raíz de la Internet Assigned Numbers Authority (IANA).

La comprobación de revocación de certificados del Conector AD utiliza el siguiente proceso:

  • Conector AD debe comprobar la extensión Authority Information Access (AIA) del certificado de usuario para una URL del agente de respuesta OCSP y, a continuación, Conector AD utiliza la URL para comprobar la revocación.

  • Si Conector AD no puede resolver la URL que se encuentra en la extensión AIA del certificado de usuario o encuentra una URL del agente de respuesta OCSP en el certificado de usuario, Conector AD utiliza la URL de OCSP opcional proporcionada durante el registro del certificado de CA raíz.

    Si la URL de la extensión AIA del certificado de usuario se resuelve, pero no tiene respuesta, se produce un error en la autenticación del usuario.

  • Si la URL del agente de respuesta OCSP proporcionada durante el registro del certificado de CA raíz no se resuelve, no responde o, en cambio, no se proporcionó ninguna URL del agente de respuesta OCSP, se producirá un error en la autenticación del usuario.

  • El servidor OCSP debe cumplir con la RFC 6960. Además, el servidor OCSP debe admitir las solicitudes que utilicen el método GET para las solicitudes que tengan un total de 255 bytes o menos.

nota

Conector AD requiere una URL HTTP para la URL del agente de respuesta OCSP.

Otras consideraciones

Antes de habilitar la autenticación con tarjeta inteligente en Conector AD, tenga en cuenta lo siguiente:

  • Conector AD utiliza la autenticación Mutual Transport Layer Security (mutual TLS) basada en certificados para autenticar a los usuarios en Active Directory mediante certificados de tarjetas inteligentes basados en hardware o software. Por el momento, solo se admiten las tarjetas de acceso común (CAC) y las tarjetas de verificación de identidad personal (PIV). Es posible que funcionen otros tipos de tarjetas inteligentes basadas en hardware o software, pero no se han probado para su uso con el Protocolo de WorkSpaces transmisión.

  • La autenticación con tarjeta inteligente sustituye a la autenticación por nombre de usuario y contraseña por WorkSpaces.

    Si tiene otras AWS aplicaciones configuradas en el directorio de AD Connector con la autenticación con tarjeta inteligente habilitada, esas aplicaciones seguirán presentando la pantalla de introducción de nombre de usuario y contraseña.

  • Al habilitar la autenticación con tarjeta inteligente, se limita la duración de la sesión del usuario a la duración máxima de los tickets de servicio de Kerberos. Puede configurar esta opción mediante una política de grupo (de forma predeterminada, está configurada en 10 horas). Para obtener más información sobre esta configuración, consulte la documentación de Microsoft.

  • El tipo de cifrado Kerberos compatible con la cuenta de servicio del Conector AD debe coincidir con todos los tipos de cifrado Kerberos compatibles con el controlador de dominio.