翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Private CA Connector for AD をセットアップする
セルフマネージド Active Directory (AD) を AWS Private Certificate Authority AD Connector と統合して、AD ドメインに参加しているユーザー、グループ、マシンの証明書を発行および管理できます。AD 用 AWS Private CA コネクタを使用すると、ローカルエージェントやプロキシサーバーをデプロイ、パッチ、更新することなく、セルフマネージドエンタープライズ CAs の完全マネージド型 AWS Private CA ドロップインリプレースメントを使用できます。
ディレクトリと AWS Private CA の統合は、Directory Service コンソール、 AWS Private CA Connector for AD コンソール、または CreateTemplate API を呼び出して設定できます。 AWS Private CA Connector for Active Directory コンソールを使用してプライベート CA 統合を設定するには、「 AWS Private CA Connector for Active Directory」を参照してください。 AWS Directory Service コンソールからこの統合を設定する手順については、以下を参照してください。
前提条件
AD Connector を使用するには、サービスアカウントに追加のアクセス許可を委任する必要があります。サービスアカウントにアクセスコントロールリスト (ACL) を設定して、次の操作を行えるようにします。
サービスプリンシパル名 (SPN) をそれ自体に対して追加および削除します。
以下のコンテナで証明機関を作成および更新します。
#containers CN=Public Key Services,CN=Services,CN=Configuration CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration次の例のように、NT AuthCertificates 認証機関オブジェクトを作成して更新します。NT AuthCertificates 認証機関オブジェクトが存在する場合は、そのオブジェクトのアクセス許可を委任する必要があります。オブジェクトが存在しない場合は、Public Key Services コンテナに子オブジェクトを作成する権限を委任する必要があります。
#objects CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration
注記
AWS Managed Microsoft AD を使用している場合、ディレクトリで AWS Private CA Connector for AD サービスを承認すると、追加のアクセス許可が自動的に委任されます。
次の PowerShell スクリプトを使用して、追加のアクセス許可を委任し、NT AuthCertifiates 認証機関オブジェクトを作成できます。「myconnectoraccount」をサービスアカウント名で置き換えてください。
$AccountName = 'myconnectoraccount' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module -Name 'ActiveDirectory' $RootDSE = Get-ADRootDSE # Getting AD Connector service account Information $AccountProperties = Get-ADUser -Identity $AccountName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID $AccountAclPath = $AccountProperties.DistinguishedName # Getting ACL settings for AD Connector service account. $AccountAcl = Get-ACL -Path "AD:\$AccountAclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AccountAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGuid, 'None' $AccountAcl.AddAccessRule($AccountAccessRule) Set-ACL -AclObject $AccountAcl -Path "AD:\$AccountAclPath" # Add ACLs allowing AD Connector service account the ability to create certification authorities [System.GUID]$CertificationAuthorityGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'certificationAuthority' } -Properties 'schemaIDGUID').schemaIDGUID $CAAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'ReadProperty,WriteProperty,CreateChild,DeleteChild', 'Allow', $CertificationAuthorityGuid, 'None' $PKSDN = "CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" $PKSACL = Get-ACL -Path "AD:\$PKSDN" $PKSACL.AddAccessRule($CAAccessRule) Set-ACL -AclObject $PKSACL -Path "AD:\$PKSDN" $AIADN = "CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" $AIAACL = Get-ACL -Path "AD:\$AIADN" $AIAACL.AddAccessRule($CAAccessRule) Set-ACL -AclObject $AIAACL -Path "AD:\$AIADN" $CertificationAuthoritiesDN = "CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" $CertificationAuthoritiesACL = Get-ACL -Path "AD:\$CertificationAuthoritiesDN" $CertificationAuthoritiesACL.AddAccessRule($CAAccessRule) Set-ACL -AclObject $CertificationAuthoritiesACL -Path "AD:\$CertificationAuthoritiesDN" $NTAuthCertificatesDN = "CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" If (-Not (Test-Path -Path "AD:\$NTAuthCertificatesDN")) { New-ADObject -Name 'NTAuthCertificates' -Type 'certificationAuthority' -OtherAttributes @{certificateRevocationList=[byte[]]'00';authorityRevocationList=[byte[]]'00';cACertificate=[byte[]]'00'} -Path "CN=Public Key Services,CN=Services,CN=Configuration,$($RootDSE.rootDomainNamingContext)" } $NTAuthCertificatesACL = Get-ACL -Path "AD:\$NTAuthCertificatesDN" $NullGuid = [System.GUID]'00000000-0000-0000-0000-000000000000' $NTAuthAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'ReadProperty,WriteProperty', 'Allow', $NullGuid, 'None' $NTAuthCertificatesACL.AddAccessRule($NTAuthAccessRule) Set-ACL -AclObject $NTAuthCertificatesACL -Path "AD:\$NTAuthCertificatesDN"
AWS Private CA Connector for AD をセットアップするには
にサインイン AWS Management Console し、 で AWS Directory Service コンソールを開きますhttps://console.aws.amazon.com/directoryservicev2/
。 [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。
Connector for AD のネットワークとセキュリティタブで、 AWS Private CA Connector for AD の設定を選択します。 AWS Private CA のプライベート CA 証明書を作成する Active Directory ページが表示されます。コンソールの手順に従って、 Private CA に登録するActive Directoryコネクタ用の Private CA を作成します。詳細については、「コネクタの作成」を参照してください。
コネクタを作成したら、以下の手順に従って、コネクタのステータスや関連するプライベート CA のステータスなどの詳細を表示します。
AWS Private CA Connector for AD を表示するには
にサインイン AWS Management Console し、 で AWS Directory Service コンソールを開きますhttps://console.aws.amazon.com/directoryservicev2/
。 [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。
[ネットワークとセキュリティ] の [AWS Private CA Connector for AD] で、プライベート CA コネクタと関連するプライベート CA を表示できます。デフォルトでは、以下のフィールドが表示されます。
AWS Private CA コネクタ ID — AWS Private CA コネクタの一意の識別子。クリックすると、その AWS Private CA コネクタの詳細ページが表示されます。
AWS Private CA subject — CA の識別名に関する情報。こちらをクリックすると、その AWS Private CAの詳細ページが表示されます。
ステータス — AWS Private CA コネクタと のステータスチェックに基づきます AWS Private CA。両方のチェックに合格すると、[アクティブ] と表示されます。いずれかのチェックが失敗すると、[1/2 チェック失敗] と表示されます。両方のチェックが失敗すると、[失敗] と表示されます。失敗ステータスの詳細については、ハイパーリンクにカーソルを合わせると、どのチェックが失敗したか確認できます。コンソール内の指示に従い、修正します。
作成日 — AWS Private CA コネクタが作成された日。
詳細については、「コネクタの詳細表示」を参照してください。
