本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 前提条件
<a name="certificate-based-authentication-prereq"></a>

使用基于证书的身份验证之前，请完成以下步骤。

1. 设置加入域的实例集并配置 SAML 2.0。确保对 SAML\$1Subject `NameID` 使用 `username@domain.com` `userPrincipalName` 格式。有关更多信息，请参阅 [步骤 5：为 SAML 身份验证响应创建断言](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions)。
**注意**  
如果您要使用基于证书的身份验证，请不要启用堆栈中的 **Active Directory 的智能卡登录**。有关更多信息，请参阅 [智能卡](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards)。

1. 使用 WorkSpaces 应用程序代理版本 10-13-2022 或更高版本处理您的映像。有关更多信息，请参阅 [保留您的 Amazon WorkSpaces 应用程序图片 Up-to-Date](keep-image-updated.md)。

1. 在 SAML 断言中配置 `ObjectSid` 属性。您可以使用此属性与 Active Directory 用户进行强映射。如果 `ObjectSid` 属性与 SAML\$1Subject `NameID` 中指定的用户的 Active Directory 安全标识符（SID）不匹配，则基于证书的身份验证将失败。有关更多信息，请参阅 [步骤 5：为 SAML 身份验证响应创建断言](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions)。2025 年 9 月 10 日之后，基于证书的身份验证必须有 `ObjectSid`。有关更多信息，请参阅 [KB5014754：Windows 域控制器上基于证书的身份验证更改](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)。

1. 将 `sts:TagSession` 权限添加到与您的 SAML 2.0 配置一起使用的 IAM 角色信任策略。有关更多信息，请参阅[在 AWS STS中传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html.html)。使用基于证书的身份验证时需要此权限。有关更多信息，请参阅 [步骤 2：创建 SAML 2.0 联合身份验证 IAM 角色](external-identity-providers-setting-up-saml.md#external-identity-providers-grantperms)。

1. 如果您的 Active Directory 中没有配置 AWS 私有证书颁发机构 (CA)，请使用私有 CA 创建私有证书颁发机构 (CA)。 AWS 私有 CA 必须使用基于证书的身份验证。有关更多信息，请参阅[规划 AWS 私有 CA 部署](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html)。在许多基于证书的身份验证用例中，以下 AWS 私有 CA 设置很常见：
   + **CA 类型选项**
     + **短期证书 CA 使用模式** – 如果 CA 仅为基于证书的身份验证颁发最终用户证书，则建议使用此模式。
     + **带有根 CA 的单级层次结构** – 选择从属 CA 以将其与现有 CA 层次结构集成。
   + **密钥算法选项** – RSA 2048
   + **主题可分辨名称选项** – 使用合适的选项在 Active Directory 受信任的根证书颁发机构存储中识别此 CA。
   + **证书吊销选项** – CRL 分发
**注意**  
基于证书的身份验证需要一个可从 WorkSpaces 应用程序队列实例和域控制器访问的在线 CRL 分发点。这需要对为 AWS 私有 CA CRL 条目配置的 Amazon S3 存储桶进行未经身份验证的访问权限，或者如果 CloudFront 分配阻止了公开访问，则需要有权访问 Amazon S3 存储桶。有关这些选项的更多信息，请参阅[计划证书吊销列表（CRL）](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html)。

1. 使用密钥标记您的私有 CA，该密钥`euc-private-ca`有权指定用于基于 WorkSpaces 应用程序证书的身份验证的 CA。此键不需要值。有关更多信息，请参阅[管理私有 CA 的标签](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html)。有关 WorkSpaces 应用程序中用于授予资源权限的 AWS 托管策略的更多信息 AWS 账户，请参阅[AWS 访问 WorkSpaces 应用程序资源所需的托管策略](managed-policies-required-to-access-appstream-resources.md)。

1. 基于证书的身份验证使用虚拟智能卡进行登录。有关更多信息，请参阅 [Guidelines for enabling smart card logon with third-party certification authorities](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)。按照以下步骤进行操作：

   1. 使用域控制器证书配置域控制器，以对智能卡用户进行身份验证。如果您在 Active Directory 中配置了 Active Directory 证书服务企业 CA，它会自动使用启用智能卡登录的证书注册域控制器。如果您没有 Active Directory 证书服务，请参阅[来自第三方 CA 的域控制器证书的要求](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller)。 AWS 建议 Active Directory 企业证书颁发机构自动管理域控制器证书的注册。
**注意**  
如果您使用 AWS 托管 Microsoft AD，则可以在满足域控制器证书要求的 Amazon EC2 实例上配置证书服务。有关配置了 A [ctive Directory 证书服务的 AWS 托管 Microsoft AD 的部署示例，请参阅将 Active Directory 部署到新的亚马逊虚拟私有云](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html)。  
使用 AWS 托管 Microsoft AD 和 Active Directory 证书服务，您还必须创建从控制器的 VPC 安全组到运行证书服务的亚马逊 EC2 实例的出站规则。您必须为安全组提供对 TCP 端口 135 以及端口 49152 至 65535 的访问权限，才能启用证书自动注册。Amazon EC2 实例还必须允许域实例（包括域控制器）在这些相同的端口上进行入站访问。有关查找 AWS 托管 Microsoft AD 的安全组的更多信息，请参阅[配置您的 VPC 子网和安全组](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc)。

   1. 在 AWS 私有 CA 控制台上，或者使用 SDK 或 CLI 导出私有 CA 证书。有关更多信息，请参阅[导出私有证书](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。

   1. 将私有 CA 发布到 Active Directory。登录到域控制器或已加入域的计算机。将私有 CA 证书复制到任意 `<path>\<file>`，然后以域管理员身份运行以下命令。你也可以使用组策略和 Microsoft PKI Health Tool (PKIView) 发布 CA。有关更多信息，请参阅[配置说明](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions)。

      ```
      certutil -dspublish -f <path>\<file> RootCA
      ```

      ```
      certutil -dspublish -f <path>\<file> NTAuthCA
      ```

      确保命令成功完成，然后删除私有 CA 证书文件。根据您的 Active Directory 复制设置，CA 可能需要几分钟才能发布到您的域控制器和 WorkSpaces 应用程序队列实例。
**注意**  
当 WorkSpaces 应用程序队列实例加入域时，Active Directory 必须自动 NTAuth 将 CA 分发给受信任的根证书颁发机构和企业存储。

对于 Windows 操作系统，CA（证书颁发机构）的分发是自动进行的。但是，对于 Rocky Linux 和红帽企业 Linux，您必须从 A WorkSpaces pplications Directory Config 所使用的 CA 下载根 CA 证书。如果您的 KDC 根 CA 证书不同，则还必须下载这些证书。在使用基于证书的身份验证之前，必须将这些证书导入到映像或快照中。

在映像上，应该有一个名为 /`etc/sssd/pki/sssd_auth_ca_db.pem` 的文件。它应该类似以下内容：

```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
```

**注意**  
在跨区域或账户复制映像，或者将映像与新的 Active Directory 重新关联时，需要在映像生成器上使用相关证书重新配置此文件，并在使用前重新拍摄快照。

以下是下载根 CA 证书的说明：

1. 在映像生成器上，创建一个名为 `/etc/sssd/pki/sssd_auth_ca_db.pem` 的文件。

1. 打开 [AWS Private CA 控制台](https://console.aws.amazon.com/acm-pca/)。

1. 选择与您的 WorkSpaces 应用程序目录 Config 一起使用的私有证书。

1. 选择 **CA 证书**选项卡。

1. 将证书链和证书正文复制到映像生成器上的 `/etc/sssd/pki/sssd_auth_ca_db.pem` 中。

如果使用的根 CA 证书与您 KDCs WorkSpaces 的 Applications Directory Config 使用的根 CA 证书不同，请按照以下示例步骤下载它们：

1. 连接到与您的映像生成器加入相同域的 Windows 实例。

1. 打开 `certlm.msc`。

1. 在左侧窗格中，选择**受信任的根证书颁发机构**，然后选择**证书**。

1. 对于每个根 CA 证书，打开上下文（右键单击）菜单。

1. 选择**所有任务**，选择**导出**以打开“证书导出向导”，然后选择**下一步**。

1. 选择 **Base64 编码的 X.509 (.CER)**，然后选择**下一步**。

1. 选择**浏览**，输入文件名，然后选择**下一步**。

1. 选择**结束**。

1. 在文本编辑器中打开导出的证书。

1. 将文件内容复制到映像生成器上的 `/etc/sssd/pki/sssd_auth_ca_db.pem` 中。