Configurar el AWS Private CA conector para AD para Microsoft AD AWS administrado - AWS Directory Service
Configuración de AWS Private CA Connector para ADAWS Private CA Conector de visualización para ADConfiguración de políticas del ADConfirmando la AWS Private CA emisión de un certificado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar el AWS Private CA conector para AD para Microsoft AD AWS administrado

Puede integrar su Microsoft AD AWS administrado con AWS Private Certificate Authority (CA) para emitir y administrar certificados para sus controladores de dominio de Active Directory, usuarios unidos a dominios, grupos y máquinas. AWS Private CA Connector for Active Directory le permite utilizar un sustituto AWS Private CA directo y totalmente gestionado para su empresa autogestionada CAs sin necesidad de implementar, aplicar parches o actualizar agentes locales o servidores proxy.

Puede configurar la AWS Private CA integración con su directorio a través de la Directory Service consola, la consola de AWS Private CA Connector for Active Directory o llamando a la CreateTemplateAPI. Para configurar la integración de una CA privada a través de la consola de AWS Private CA Connector for Active Directory, consulte Creación de una plantilla de conector. Consulte los siguientes pasos para configurar esta integración desde la Directory Service consola.

Configuración de AWS Private CA Connector para AD

Creación de Conector de Private CA para Active Directory

  1. Inicie sesión en AWS Management Console y abra la Directory Service consola enhttps://console.aws.amazon.com/directoryservicev2/.

  2. En la página Directorios, elija el ID del directorio.

  3. En la pestaña Administración de aplicaciones y en la sección de aplicaciones y servicios de AWS , seleccione Conector para AD de AWS Private CA .

  4. En la página Create Private CA certificate for Active Directory, complete los pasos para crear su autorización de certificación (CA) privada para el Conector Active Directory.

Para obtener más información, consulte Creación de un conector.

AWS Private CA Conector de visualización para AD

Cómo ver los detalles del conector de Private CA

  1. Inicie sesión en AWS Management Console y abra la Directory Service consola enhttps://console.aws.amazon.com/directoryservicev2/.

  2. En la página Directorios, elija el ID del directorio.

  3. En la pestaña Administración de aplicaciones y en la sección de aplicaciones y servicios de AWS , consulte sus conectores de Private CA como las Private CA asociadas. Los siguientes campos muestran:

    1. AWS Private CA ID de conector: el identificador único de un AWS Private CA conector. Elíjalo para ver la página de detalles.

    2. AWS Private CA asunto: información relativa al nombre distintivo de la CA. Elíjalo para ver la página de detalles.

    3. Estado: resultados de la comprobación de estado del AWS Private CA conector y AWS Private CA:

      • Activo: ambas comprobaciones se aprueban

      • Fallo de 1/2 comprobación: una comprobación falla

      • Fallo: ambas comprobaciones fallan

      Para ver detalles del estado de fallo, coloque el cursor sobre el hipervínculo para ver qué comprobación tuvo errores.

    4. Estado de inscripción de los certificados DC: compruebe el estado del certificado del controlador de dominio:

      • Habilitado: la inscripción de certificados está habilitada

      • Deshabilitada: la inscripción de certificados está deshabilitada

    5. Fecha de creación: cuando se creó el AWS Private CA conector.

Para obtener más información, consulte Ver detalles del conector.

En la siguiente tabla se muestran los diferentes estados de la inscripción de certificados de controlador de dominio para Microsoft AD AWS administrado con AWS Private CA.

Estado de inscripción de DC Description (Descripción) Acción requerida

Habilitado

Los certificados de controlador de dominio se han inscrito correctamente en su directorio.

No hay que hacer nada.

Con error

No se pudo habilitar o deshabilitar la inscripción del certificado de controlador de dominio en su directorio.

Si se produce un error en la acción de habilitación, vuelva a intentarlo desactivando los certificados de controlador de dominio y, a continuación, volviéndolos a activar. Si la acción de inhabilitación no funciona, vuelva a intentarlo activando los certificados de controlador de dominio y, a continuación, vuelva a apagarlos. Si se produce un error al volver a intentarlo, póngase en contacto con AWS Support.

Deteriorado

Los controladores de dominio tienen problemas de conectividad de red para comunicarse con los puntos AWS Private CA finales.

Compruebe las políticas de punto final de AWS Private CA VPC y bucket de S3 para permitir la conectividad de red con su directorio. Para obtener más información, consulte Solucionar problemas de mensajes de excepción de una autoridad de certificación AWS privada y Solucionar problemas de revocación de AWS Private CA certificados.

Deshabilitado

La inscripción de certificados de controlador de dominio se ha desactivado correctamente en su directorio.

No hay que hacer nada.

Deshabilitación

La inhabilitación de la inscripción del certificado de controlador de dominio está en curso.

No hay que hacer nada.

Habilitación

La activación de la inscripción del certificado de controlador de dominio está en curso.

No hay que hacer nada.

Configuración de políticas del AD

AWS Private CA El conector para AD debe configurarse de modo que los objetos y controladores de dominio AWS gestionados de Microsoft AD puedan solicitar y recibir certificados. Configure su objeto de política de grupo (GPO) para que AWS Private CA pueda emitir certificados para los objetos AWS gestionados de Microsoft AD.

Configuración de las políticas de Active Directory para los controladores de dominio

Active las políticas de Active Directory para los controladores de dominio

  1. Abra la pestaña Redes y seguridad.

  2. Elegir Conectores de AWS Private CA .

  3. Elija un conector vinculado al AWS Private CA asunto que emite los certificados de controlador de dominio para su directorio.

  4. Elija Acciones y Habilitación de los certificados de controlador de dominio.

importante

Configure una plantilla de controlador de dominio válida antes de activar los certificados de controlador de dominio para evitar demoras en las actualizaciones.

Tras activar la inscripción de certificados de controlador de dominio, los controladores de dominio de su directorio solicitan y reciben certificados de Conector AWS Private CA para AD.

Para cambiar la emisión AWS Private CA de los certificados de controlador de dominio, primero conecte el nuevo AWS Private CA al directorio mediante un nuevo AWS Private CA conector para AD. Antes de activar la inscripción de certificados en el nuevo AWS Private CA, desactive la inscripción de certificados en el existente:

Desactive los certificados de controlador de dominio

  1. Abra la pestaña Redes y seguridad.

  2. Elegir Conectores de AWS Private CA .

  3. Elija un conector vinculado al AWS Private CA asunto que emita los certificados de controlador de dominio a su directorio.

  4. Seleccione Acciones e inhabilite los certificados de controlador de dominio.

Configuración de las políticas de Active Directory para los usuarios, equipos y máquinas unidos a un dominio

Configurar objetos de política de grupo

  1. Conéctese a la instancia de administración de Microsoft AD AWS administrada y abra el Administrador del servidor desde el menú Inicio.

  2. En Herramientas, seleccione Administración de políticas de grupo.

  3. En Bosques y dominios, busque su unidad organizativa (UO) de subdominio (por ejemplo, corp es su unidad organizativa de subdominio si siguió los procedimientos descritos en Creación de su Microsoft AD AWS administrado) y haga clic derecho sobre la OU de subdominio. Seleccione Crear un GPO en este dominio y vincúlelo aquí e ingrese PCA GPO como nombre. Seleccione Aceptar.

  4. El GPO recién creado aparece debajo del nombre de su subdominio. Haga clic con el botón derecho en PCA GPO y seleccione Editar. Si se abre un cuadro de diálogo con el mensaje de alerta Este es un enlace y los cambios se propagarán globalmente, confirme el mensaje al seleccionar Aceptar para continuar. Se abre la ventana del Editor de administración de políticas de grupo.

  5. En la ventana del Editor de administración de políticas de grupo, vaya a Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de clave pública (seleccione la carpeta).

  6. En Tipo de objeto, elija Cliente de servicios de certificación: política de inscripción de certificados.

  7. En la ventana Cliente de servicios de certificación: política de inscripción de certificados, cambie el modelo de configuración a Habilitado.

  8. Confirme que la Política de inscripción de Active Directory esté seleccionada y habilitada. Elija Añadir.

  9. Se abre el cuadro de diálogo Servidor de políticas de inscripción de certificados. Introduzca el punto de conexión del servidor de políticas de inscripción de certificados que se generó al crear el conector en el campo Introduzca el URI de la política del servidor de inscripciones. Deje el tipo de autenticación como Windows integrado.

  10. Elija Validar. Una vez que la validación se haya realizado correctamente, seleccione Agregar.

  11. Regrese al cuadro de diálogo Cliente de servicios de certificación: política de inscripción de certificados y seleccione la casilla junto al conector recién creado para asegurarse de que tenga la política de inscripción predeterminada.

  12. Elija la Política de inscripción de Active Directory y seleccione Eliminar.

  13. En el cuadro de diálogo de confirmación, elija para eliminar la autenticación basada en el LDAP.

  14. Seleccione Aplicar y Aceptar en la ventana Cliente de servicios de certificación: política de inscripción de certificados. Luego cierre la ventana.

  15. En Tipo de objeto para la carpeta Políticas de clave pública, seleccione Cliente de servicios de certificación: política de inscripción de certificados.

  16. Cambie el Modelo de configuración a Habilitado.

  17. Confirme que las opciones Renovar certificados expirados y Actualizar certificados estén ambas seleccionadas. Deje las otras opciones como están.

  18. Seleccione Aplicar, luego Aceptar y cierre el cuadro de diálogo.

A continuación, configure las políticas de claves públicas para la configuración de usuario repitiendo los pasos 6 a 17 de la sección Configuración de Windows > Configuración de seguridad > Políticas de claves públicas.

Cuando termine de configurar GPOs las políticas de clave pública, los objetos del dominio solicitan certificados a AWS Private CA Connector for AD y reciben los certificados emitidos por AWS Private CA.

Confirmando la AWS Private CA emisión de un certificado

El proceso de actualización AWS Private CA para emitir certificados para su Microsoft AD AWS administrado puede tardar hasta 8 horas.

Puede elegir una de las opciones siguientes:

  • Puede esperar este período de tiempo.

  • Puede reiniciar las máquinas unidas al dominio AWS administrado de Microsoft AD que se configuraron para recibir certificados del AWS Private CA. A continuación, puede confirmar que AWS Private CA ha emitido certificados a los miembros de su dominio de Microsoft AD AWS administrado siguiendo el procedimiento de la Microsoftdocumentación.

  • Puede usar el siguiente PowerShell comando para actualizar los certificados de su Microsoft AD AWS administrado:

    certutil -pulse