Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Configurer le AWS CA privée connecteur pour AD pour Microsoft AD AWS géré Configurer le AWS CA privée connecteur pour AD Vous pouvez intégrer votre Microsoft AD AWS géré à [AWS Autorité de certification privée (CA)](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html) pour émettre et gérer des certificats pour vos contrôleurs de domaine Active Directory, vos utilisateurs joints à un domaine, vos groupes et vos machines. AWS CA privée Connector for Active Directory vous permet d'utiliser une solution de remplacement entièrement gérée AWS CA privée pour votre entreprise autogérée CAs sans qu'il soit nécessaire de déployer, de patcher ou de mettre à jour des agents locaux ou des serveurs proxy. Vous pouvez configurer AWS CA privée l'intégration à votre annuaire via la Directory Service console, la console AWS CA privée Connector for Active Directory ou en appelant l'[https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html)API. Pour configurer l'intégration de Private CA via la console AWS CA privée Connector for Active Directory, reportez-vous à la section [Création d'un modèle de connecteur](https://docs.aws.amazon.com/privateca/latest/userguide/create-ad-template.html). Consultez les étapes suivantes pour configurer cette intégration depuis la Directory Service console. ## Configuration AWS CA privée du connecteur pour AD **Pour créer un connecteur CA privé pour Active Directory** 1. Connectez-vous à la Directory Service console AWS Management Console et ouvrez-la à l'adresse[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/). 1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire. 1. Dans l'onglet **Gestion des AWS applications** **et dans la section Applications et services**, sélectionnez **AWS CA privée Connector for AD**. 1. Sur la page **Créer un certificat d'autorité de certification privée pour Active Directory**, suivez les étapes pour créer votre connecteur d'autorité de certification privée pour Active Directory. Pour de plus amples informations, veuillez consulter [Creating a connector](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html) (français non garanti). ## AWS CA privée Connecteur de visualisation pour AD **Pour afficher les détails du connecteur Private CA** 1. Connectez-vous à la Directory Service console AWS Management Console et ouvrez-la à l'adresse[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/). 1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire. 1. Dans l'onglet **Gestion des AWS applications** **et dans la section Applications et services**, consultez vos connecteurs d'autorité de certification privée et l'autorité de certification privée associée. Les champs suivants s'affichent : 1. **AWS CA privée ID du connecteur** : identifiant unique d'un AWS CA privée connecteur. Sélectionnez-le pour afficher la page de détails. 1. **AWS CA privée objet** — Informations concernant le nom distinctif de l'autorité de certification. Sélectionnez-le pour afficher la page de détails. 1. **État** — Résultats de la vérification de l'état du AWS CA privée connecteur et AWS CA privée : + **Actif** — Les deux contrôles sont réussis + **1/2 vérification échouée — échec** d'une vérification + **Échec** — Les deux vérifications échouent Pour obtenir des informations sur le statut d'échec, passez le curseur sur le lien hypertexte pour voir quelle vérification a échoué. 1. **État d'inscription des certificats DC** — Vérification de l'état du certificat du contrôleur de domaine : + **Activé** — L'inscription aux certificats est activée + **Désactivé** — L'inscription au certificat est désactivée 1. **Date de création** : date de création AWS CA privée du connecteur. Pour plus d'informations, veuillez consulter [View connector details](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html) (français non garanti). Le tableau suivant présente les différents statuts d'inscription des certificats de contrôleur de domaine pour AWS Managed Microsoft AD with AWS CA privée. | État d'inscription au DC | Description | Action requise | | --- | --- | --- | | Activé | Les certificats de contrôleur de domaine sont correctement inscrits dans votre annuaire. | Aucune action requise. | | Échec | L'activation ou la désactivation de l'inscription des certificats de contrôleur de domaine a échoué pour votre annuaire. | Si votre action d'activation échoue, réessayez en désactivant les certificats de contrôleur de domaine, puis en les réactivant. Si votre action de désactivation échoue, réessayez en activant les certificats de contrôleur de domaine, puis en les désactivant à nouveau. Si la nouvelle tentative échoue, contactez le AWS Support. | | Dégradé | Les contrôleurs de domaine rencontrent des problèmes de connectivité réseau lorsqu'ils communiquent avec les AWS CA privée terminaux. | Vérifiez les politiques relatives aux points de terminaison AWS CA privée VPC et aux compartiments S3 pour autoriser la connectivité réseau avec votre annuaire. Pour plus d'informations, consultez [Résoudre les messages d'exception des autorités de certification AWS privées](https://docs.aws.amazon.com/privateca/latest/userguide/PCATsExceptions.html) et [Résoudre les problèmes de révocation de AWS CA privée certificats](https://docs.aws.amazon.com/privateca/latest/userguide/troubleshoot-certificate-revocation.html). | | Désactivé | L'inscription des certificats de contrôleur de domaine est correctement désactivée pour votre annuaire. | Aucune action requise. | | Désactivation | La désactivation de l'inscription des certificats de contrôleur de domaine est en cours. | Aucune action requise. | | Activation | L'activation de l'inscription des certificats de contrôleur de domaine est en cours. | Aucune action requise. | ## Configuration des politiques AD AWS CA privée Le Connector for AD doit être configuré de manière AWS à ce que les contrôleurs de domaine et les objets Microsoft AD gérés puissent demander et recevoir des certificats. Configurez votre objet de stratégie de groupe ([GPO](https://learn.microsoft.com/previous-versions/windows/desktop/policy/group-policy-objects)) afin de AWS CA privée pouvoir délivrer des certificats aux objets Microsoft AD AWS gérés. ### Configuration des politiques Active Directory pour les contrôleurs de domaine **Activer les politiques Active Directory pour les contrôleurs de domaine** 1. Ouvrez l'onglet **Réseau et sécurité**. 1. Choisissez **AWS CA privée Connectors**. 1. Choisissez un connecteur lié au AWS CA privée sujet qui émet des certificats de contrôleur de domaine pour votre annuaire. 1. Choisissez **Actions**, puis **Activer les certificats de contrôleur de domaine**. **Important** Configurez un modèle de contrôleur de domaine valide avant d'activer les certificats de contrôleur de domaine afin d'éviter les mises à jour différées. Une fois que vous avez activé l'inscription des certificats de contrôleur de domaine, les contrôleurs de domaine de votre annuaire demandent et reçoivent des certificats de AWS CA privée Connector for AD. Pour modifier votre émission AWS CA privée de certificats de contrôleur de domaine, connectez d'abord le nouveau AWS CA privée à votre annuaire à l'aide d'un nouveau AWS CA privée Connector for AD. Avant d'activer l'enregistrement des certificats sur le nouveau AWS CA privée, désactivez l'enregistrement des certificats sur le certificat existant : **Désactiver les certificats de contrôleur de domaine** 1. Ouvrez l'onglet **Réseau et sécurité**. 1. Choisissez **AWS CA privée Connectors**. 1. Choisissez un connecteur lié au AWS CA privée sujet qui émet des certificats de contrôleur de domaine pour votre annuaire. 1. Choisissez **Actions**, **Désactiver les certificats de contrôleur de domaine**. ### Configuration des politiques Active Directory pour les utilisateurs, ordinateurs et machines joints à un domaine **Configuration des objets de stratégie de groupe** 1. Connectez-vous à l'instance d'administration Microsoft AD AWS gérée et ouvrez le [Gestionnaire de serveur](https://learn.microsoft.com/windows-server/administration/server-manager/server-manager) depuis le menu **Démarrer**. 1. Sous **Outils**, sélectionnez **Gestion des politiques de groupe**. 1. Sous **Forêt et domaines, recherchez** l'unité organisationnelle (UO) de votre sous-domaine (par exemple, `corp` il s'agit de votre unité organisationnelle de sous-domaine si vous avez suivi les procédures décrites dans[Création de votre Microsoft AD AWS géré](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)) et cliquez avec le bouton droit sur l'unité organisationnelle de votre sous-domaine. Choisissez **Créer un GPO dans ce domaine, liez-le ici et** entrez PCA GPO pour le nom. Choisissez **OK**. 1. Le GPO nouvellement créé apparaît après le nom de votre sous-domaine. Cliquez avec le bouton droit sur `PCA GPO` et choisissez **Modifier**. Si une boîte de dialogue s'ouvre avec un message d'alerte indiquant qu'il s'agit d'un lien et que les modifications sont propagées dans le monde entier, confirmez le message en choisissant **OK** pour continuer. La fenêtre de l'**éditeur de gestion des politiques de groupe** s'ouvre. 1. Dans la fenêtre de l'**éditeur de gestion des stratégies de groupe**, accédez à **Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Politiques de clé publique** (choisissez le dossier). 1. Sous **Type d'objet**, choisissez **Certificate Services Client - Certificate Enrollment Policy**. 1. Dans la fenêtre **Client des services de certificats - Politique d'inscription** des certificats, remplacez le **modèle de configuration** par **Activé**. 1. Vérifiez que la **politique d'inscription Active Directory** est sélectionnée et **activée**. Choisissez **Ajouter**. 1. La boîte de dialogue **du serveur de politiques d'inscription aux certificats** s'ouvre. Entrez le point de terminaison du serveur de politique d'inscription des certificats que vous avez généré lorsque vous avez créé votre connecteur dans le champ **Entrez l'URI de la politique du serveur d'inscription**. Laissez le **type d'authentification** **Windows** intégré. 1. Choisissez **Valider**. Une fois la validation réussie, choisissez **Ajouter**. 1. Revenez à la boîte de dialogue **Client des services de certificats - Politique d'inscription** des certificats et cochez la case à côté du connecteur nouvellement créé pour vous assurer que le connecteur est la politique d'inscription par défaut. 1. Choisissez la **politique d'inscription Active Directory**, puis sélectionnez **Supprimer**. 1. Dans la boîte de dialogue de confirmation, choisissez **Oui** pour supprimer l'authentification basée sur LDAP. 1. Choisissez **Appliquer** puis **OK** dans la fenêtre **Client des services de certificats - Politique d'inscription** des certificats. Fermez ensuite la fenêtre. 1. Sous **Type d'objet** pour le **dossier Public Key Policies, choisissez Certificate Services Client - Auto-Enrollment**. 1. Modifiez l'option **Modèle de configuration** sur **Activé**. 1. Vérifiez que les options **Renouveler les certificats expirés** et **Mettre à jour les certificats** sont toutes deux sélectionnées. Laissez les autres paramètres tels quels. 1. Choisissez **Appliquer**, puis **OK**, puis fermez la boîte de dialogue. Configurez ensuite les politiques de clé publique pour la configuration utilisateur en répétant les étapes 6 à 17 dans la section **Configuration utilisateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Politiques de clé publique**. Une fois que vous avez terminé la configuration GPOs et les politiques de clé publique, les objets du domaine demandent des certificats à AWS CA privée Connector for AD et reçoivent des certificats émis par AWS CA privée. ## Confirmation de la AWS CA privée délivrance d'un certificat Le processus de mise AWS CA privée à jour pour émettre des certificats pour votre Microsoft AD AWS géré peut prendre jusqu'à 8 heures. Vous pouvez effectuer l’une des actions suivantes : + Vous pouvez attendre cette période. + Vous pouvez redémarrer les machines jointes au domaine Microsoft AD AWS géré qui ont été configurées pour recevoir des certificats du AWS CA privée. Vous pouvez ensuite confirmer que les certificats ont AWS CA privée été émis aux membres de votre domaine Microsoft AD AWS géré en suivant la procédure décrite dans la [Microsoftdocumentation](https://learn.microsoft.com/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in). + Vous pouvez utiliser la PowerShell commande suivante pour mettre à jour les certificats de votre Microsoft AD AWS géré : ``` certutil -pulse ```