Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengaktifkan otentikasi mTLS di AD Connector untuk digunakan dengan kartu pintar
Anda dapat menggunakan autentikasi mutual Transport Layer Security (mTLS) berbasis sertifikat dengan kartu pintar untuk mengautentikasi pengguna ke Amazon WorkSpaces melalui Active Directory (AD) dan AD Connector yang dikelola sendiri. Saat diaktifkan, pengguna memilih kartu pintar mereka di layar WorkSpaces login dan memasukkan PIN untuk mengautentikasi, alih-alih menggunakan nama pengguna dan kata sandi. Dari sana, desktop virtual Windows atau Linux menggunakan kartu pintar untuk mengautentikasi ke AD dari OS desktop asli.
**catatan**
Otentikasi kartu pintar di AD Connector hanya tersedia di berikut ini Region AWS, dan hanya dengan WorkSpaces. AWS Aplikasi lain tidak didukung saat ini.
AS Timur (Virginia Utara)
US West (Oregon)
Asia Pasifik (Sydney)
Asia Pasifik (Tokyo)
Eropa (Irlandia)
AWS GovCloud (AS-Barat)
AWS GovCloud (AS-Timur)
Anda juga dapat membatalkan pendaftaran dan menonaktifkan sertifikat.
**Topics**
+ [Prasyarat](#prereqs-clientauth)
+ [Mengaktifkan autentikasi kartu pintar](#enable-clientauth)
+ [Mengelola pengaturan otentikasi kartu pintar](manage-clientauth.md)
## Prasyarat
Untuk mengaktifkan autentikasi mutual Transport Layer Security (mTLS) berbasis sertifikat menggunakan kartu pintar untuk WorkSpaces klien Amazon, Anda memerlukan infrastruktur kartu pintar operasional yang terintegrasi dengan Active Directory yang dikelola sendiri. Untuk informasi selengkapnya tentang cara mengatur otentikasi kartu pintar dengan Amazon WorkSpaces dan Active Directory, lihat [Panduan WorkSpaces Administrasi Amazon](https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html).
Sebelum Anda mengaktifkan otentikasi kartu pintar WorkSpaces, harap tinjau prasyarat berikut:
+ [Persyaratan sertifikat CA](#ca-cert)
+ [Persyaratan sertifikat pengguna](#user-cert)
+ [Proses pengecekan pencabutan sertifikat](#ocsp)
+ [Pertimbangan-pertimbangan](#other)
### Persyaratan sertifikat CA
AD Connector memerlukan sertifikat otoritas sertifikasi (CA), yang mewakili penerbit sertifikat pengguna Anda, untuk autentikasi kartu pintar. AD Connector mencocokkan sertifikat CA dengan sertifikat yang ditampilkan oleh pengguna Anda dengan kartu pintar mereka. Perhatikan persyaratan sertifikat CA berikut:
+ Sebelum Anda dapat mendaftarkan sertifikat CA, harus lebih dari 90 hari dari kedaluwarsa.
+ Sertifikat CA harus dalam format Privacy-Enhanced Mail (PEM). Jika Anda mengekspor sertifikat CA dari dalam Direktori Aktif, pilih base64 encoded X.509 (.CER) sebagai format file ekspor.
+ Semua sertifikat CA root dan perantara yang terangkai dari CA penerbit sampai sertifikat pengguna harus diunggah agar autentikasi kartu pintar berhasil.
+ Maksimum 100 sertifikat CA dapat disimpan per direktori AD Connector
+ AD Connector tidak mendukung algoritma tanda tangan RSASSA-PSS untuk sertifikat CA.
+ Verifikasi Layanan Propagasi Sertifikat diatur ke Otomatis dan berjalan.
### Persyaratan sertifikat pengguna
Berikut ini adalah beberapa persyaratan untuk sertifikat pengguna:
+ Sertifikat kartu pintar pengguna memiliki Nama Alternatif Subjek (SAN) dari pengguna userPrincipalName (UPN).
+ Sertifikat kartu pintar pengguna memiliki Penggunaan Kunci yang Ditingkatkan sebagai log-on kartu pintar (1.3.6.1.4.1.311.20.2.2) Otentikasi Klien (1.3.6.1.5.5.7.3.2).
+ Informasi Protokol Status Sertifikat Online (OCSP) untuk sertifikat kartu pintar pengguna harus berupa Metode Akses = Protokol Status Sertifikat On-line (1.3.6.1.5.5.7.48.1) di Akses Informasi Otoritas.
Untuk informasi selengkapnya tentang AD Connector dan persyaratan autentikasi kartu pintar, lihat [Persyaratan](https://docs.aws.amazon.com//workspaces/latest/adminguide/smart-cards.html#smart-cards-requirements) di *Panduan WorkSpaces Administrasi Amazon*. *Untuk membantu mengatasi WorkSpaces masalah Amazon, seperti masuk ke, mengatur ulang kata sandi WorkSpaces, atau menyambungkan ke WorkSpaces, lihat [Memecahkan WorkSpaces masalah klien di](https://docs.aws.amazon.com//workspaces/latest/userguide/client_troubleshooting.html) Panduan Pengguna Amazon. WorkSpaces *
### Proses pengecekan pencabutan sertifikat
Untuk melakukan autentikasi kartu pintar, AD Connector harus memeriksa status pencabutan sertifikat pengguna menggunakan Online Certificate Status Protocol (OCSP). Untuk melakukan pengecekan pencabutan sertifikat, URL penjawab OCSP harus dapat diakses internet. Jika menggunakan nama DNS, URL penjawab OCSP harus menggunakan domain tingkat atas yang ditemukan di [Basis Data Zona Root Internet Assigned Numbers Auhtority (IANA)](https://www.iana.org/domains/root/db).
**catatan**
Direktori yang dibuat setelah 7 Oktober 2025, mengharuskan server OCSP yang digunakan untuk validasi SmartCard sertifikat dapat dirutekan melalui konfigurasi jaringan VPC Anda. Jika server OCSP Anda tidak dapat diakses melalui tabel perutean, grup keamanan, dan jaringan VPC Anda ACLs, SmartCard otentikasi akan gagal selama pemeriksaan pencabutan sertifikat. Untuk mengatasi masalah ini, pastikan bahwa:
Perutean Jaringan: Tabel rute VPC Anda memungkinkan lalu lintas mencapai server OCSP Anda dari subnet tempat instance direktori AD Connector Anda digunakan.
Grup Keamanan: Grup keamanan yang terkait dengan antarmuka jaringan direktori Anda mengizinkan lalu lintas keluar ke server OCSP Anda di port 80 (HTTP).
Jaringan ACLs: Jaringan subnet Anda ACLs memungkinkan lalu lintas dua arah server OCSP to/from Anda.
Internet Gateway/NAT: Jika server OCSP Anda menghadap ke internet, pastikan VPC Anda memiliki gateway internet atau konfigurasi gateway NAT yang sesuai untuk subnet direktori. Jika jenis jaringan Anda IPv4, Anda harus memiliki NAT dan gateway internet yang dikonfigurasi dengan VPC Anda.
Pemeriksaan pencabutan sertifikat AD Connector menggunakan proses berikut ini:
+ AD Connector harus memeriksa ekstensi Authority Information Access (AIA) di sertifikat pengguna untuk URL penjawab OCSP, lalu AD Connector menggunakan URL tersebut untuk memeriksa pencabutan.
+ Jika AD Connector tidak dapat menyelesaikan URL yang ditemukan di ekstensi AIA sertifikat pengguna, atau menemukan URL penjawab OCSP di sertifikat pengguna, AD Connector menggunakan URL OCSP opsional yang disediakan selama pendaftaran sertifikat CA root.
Jika URL di ekstensi AIA sertifikat pengguna terselesaikan tapi tidak responsif, maka autentikasi pengguna gagal.
+ Jika URL penjawab OCSP yang disediakan selama pendaftaran sertifikat CA root tidak dapat diselesaikan, tidak responsif, atau tidak ada URL penjawab OCSP yang disediakan, autentikasi pengguna gagal.
+ Server OCSP harus sesuai dengan [RFC](https://datatracker.ietf.org/doc/html/rfc6960) 6960. Selain itu, server OCSP harus mendukung permintaan menggunakan metode GET untuk permintaan yang kurang dari atau sama dengan 255 byte secara total.
**catatan**
AD Connector memerlukan URL **HTTP** untuk URL penjawab OCSP.
### Pertimbangan-pertimbangan
Sebelum mengaktifkan autentikasi kartu pintar di AD Connector, pertimbangkan item berikut ini:
+ AD Connector menggunakan autentikasi Transport Layer Security berbasis sertifikat (mutual TLS) untuk mengautentikasi pengguna ke Direktori Aktif menggunakan sertifikat kartu pintar berbasis perangkat keras atau perangkat lunak. Hanya kartu akses umum (CAC) dan kartu verifikasi identitas pribadi (PIV) yang didukung saat ini. Jenis lain dari perangkat keras atau kartu pintar berbasis perangkat lunak mungkin berfungsi tetapi belum diuji untuk digunakan dengan Protokol Streaming. WorkSpaces
+ Otentikasi kartu pintar menggantikan otentikasi nama pengguna dan kata sandi ke. WorkSpaces
Jika Anda memiliki AWS aplikasi lain yang dikonfigurasi di direktori AD Connector Anda dengan otentikasi kartu pintar diaktifkan, aplikasi tersebut masih menampilkan layar input nama pengguna dan kata sandi.
+ Mengaktifkan autentikasi kartu pintar membatasi panjang sesi pengguna ke maksimum seumur hidup untuk tiket layanan Kerberos. Anda dapat mengkonfigurasi pengaturan ini menggunakan Kebijakan Grup, dan diatur ke 10 jam secara default. Untuk informasi lebih lanjut tentang pengaturan ini, lihat [Dokumentasi Microsoft](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-service-ticket).
+ Jenis enkripsi Kerberos yang didukung oleh akun layanan AD Connector harus sesuai dengan setiap jenis enkripsi Kerberos yang didukung pengontrol domain.
## Mengaktifkan autentikasi kartu pintar
Untuk mengaktifkan otentikasi kartu pintar WorkSpaces di AD Connector, pertama-tama Anda harus mengimpor sertifikat otoritas sertifikat (CA) ke AD Connector. Anda dapat mengimpor sertifikat CA ke AD Connector menggunakan AWS Directory Service konsol, [API](https://docs.aws.amazon.com/directoryservice/latest/devguide/welcome.html), atau [CLI](https://docs.aws.amazon.com/cli/latest/reference/ds/index.html). Gunakan langkah-langkah berikut untuk mengimpor sertifikat CA Anda dan selanjutnya mengaktifkan otentikasi kartu pintar.
**Topics**
+ [Mengaktifkan delegasi terbatas Kerberos untuk akun layanan AD Connector](#step1)
+ [Mendaftarkan sertifikat CA di AD Connector](#step2)
+ [Mengaktifkan otentikasi kartu pintar untuk AWS aplikasi dan layanan yang didukung](#step3)
### Mengaktifkan delegasi terbatas Kerberos untuk akun layanan AD Connector
Untuk menggunakan otentikasi kartu pintar dengan AD Connector, Anda harus mengaktifkan **Kerberos Constrained Delegation (KCD) untuk** akun AD Connector Service ke layanan LDAP di direktori AD yang dikelola sendiri.
Kerberos Constrained Delegation adalah sebuah fitur di Windows Server. Fitur ini memungkinkan administrator untuk menentukan dan menegakkan batasan kepercayaan aplikasi dengan membatasi ruang lingkup di mana layanan aplikasi dapat bertindak atas nama pengguna. Untuk informasi selengkapnya, lihat [Delegasi yang dibatasi Kerberos](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_key_concepts_kerberos.html).
**catatan**
**Kerberos Constrained Delegation (KCD)** memerlukan bagian nama pengguna dari akun layanan AD Connector agar sesuai dengan Nama s pengguna yang sama. AMAccount AMAccountNama s dibatasi hingga 20 karakter. s AMAccount Name adalah atribut Microsoft Active Directory yang digunakan sebagai nama masuk untuk versi klien dan server Windows sebelumnya.
1. Gunakan `SetSpn` perintah untuk menetapkan Service Principal Name (SPN) untuk akun layanan AD Connector di AD yang dikelola sendiri. Hal ini mengizinkan akun layanan untuk konfigurasi delegasi.
SPN dapat berupa kombinasi layanan atau nama tetapi bukan duplikat SPN yang ada. `-s` memeriksa adanya duplikat.
```
setspn -s my/spn service_account
```
1. Di **Pengguna dan Komputer AD**, buka menu konteks (klik kanan) dan pilih akun layanan AD Connector dan pilih **Properties**.
1. Pilih tab **Delegasi**.
1. Pilih **Percayai pengguna ini untuk delegasi ke layanan tertentu saja** dan **Gunakan opsi protokol otentikasi apa pun**.
1. Pilih **Tambahkan** lalu **Pengguna atau Komputer** untuk menemukan pengendali domain.
1. Pilih **OKE** untuk menampilkan daftar layanan tersedia yang digunakan untuk delegasi.
1. Pilih jenis layanan **ldap** dan pilih **OK**.
1. Pilih **OK** lagi untuk menyimpan konfigurasi.
1. Ulangi proses ini untuk pengontrol domain lain di Direktori Aktif. Atau Anda dapat mengotomatiskan proses menggunakan PowerShell.
### Mendaftarkan sertifikat CA di AD Connector
Gunakan salah satu metode berikut untuk mendaftarkan sertifikat CA untuk direktori AD Connector Anda.
**Metode 1: Untuk mendaftarkan sertifikat CA Anda di AD Connector (Konsol Manajemen AWS)**
1. Di panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**.
1. Pilih tautan ID direktori untuk direktori Anda.
1. Pada halaman **Detail direktori**, pilih tab **Jaringan & keamanan**.
1. Di bagian **Autentikasi kartu pintar**, pilih **Tindakan**, lalu pilih **Daftar sertifikat**.
1. Dalam kotak dialog **Daftarkan sertifikat**, pilih **Pilih file**, lalu pilih sertifikat dan pilih **Buka**. Anda dapat memilih untuk melakukan pengecekan pencabutan sertifikat ini dengan memberikan URL responder Online Certificate Status Protocol (OCSP). Untuk informasi lebih lanjut tentang OCSP, lihat[Proses pengecekan pencabutan sertifikat](#ocsp).
1. Pilih **Daftarkan sertifikat**. Ketika Anda melihat status sertifikat berubah menjadi **Terdaftar**, proses pendaftaran telah selesai dengan sukses.
**Metode 2: Untuk mendaftarkan sertifikat CA Anda di AD Connector (AWS CLI)**
+ Jalankan perintah berikut. Untuk data sertifikat, arahkan ke lokasi file sertifikat CA Anda. Untuk memberikan alamat penjawab OCSP sekunder, gunakan objek `ClientCertAuthSettings` opsional.
```
aws ds register-certificate --directory-id {{your_directory_id}} --certificate-data file://{{your_file_path}} --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://{{your_OCSP_address}}
```
Jika berhasil, respons memberikan ID sertifikat. Anda juga dapat memverifikasi sertifikat CA Anda terdaftar berhasil dengan menjalankan perintah CLI berikut:
```
aws ds list-certificates --directory-id {{your_directory_id}}
```
Jika nilai status mengembalikan `Registered`, Anda telah berhasil mendaftarkan sertifikat Anda.
### Mengaktifkan otentikasi kartu pintar untuk AWS aplikasi dan layanan yang didukung
Gunakan salah satu metode berikut untuk mendaftarkan sertifikat CA untuk direktori AD Connector Anda.
**Metode 1: Untuk mengaktifkan otentikasi kartu pintar di AD Connector ()Konsol Manajemen AWS**
1. Arahkan ke bagian **otentikasi kartu pintar** di halaman **Detail direktori**, dan pilih **Aktifkan**. Jika opsi ini tidak tersedia, verifikasi bahwa sertifikat yang valid telah berhasil terdaftar, dan kemudian coba lagi.
1. Dalam kotak dialog **Aktifkan otentikasi kartu pintar**, pilih **Aktifkan**.
**Metode 2: Untuk mengaktifkan otentikasi kartu pintar di AD Connector ()AWS CLI**
+ Jalankan perintah berikut.
```
aws ds enable-client-authentication --directory-id {{your_directory_id}} --type SmartCard
```
Jika berhasil, AD Connector akan mengembalikan respons `HTTP 200` dengan tubuh HTTP kosong.
Untuk informasi selengkapnya tentang melihat sertifikat, membatalkan pendaftaran, atau menonaktifkan sertifikat Anda, lihat. [Mengelola pengaturan otentikasi kartu pintar](manage-clientauth.md)