从微软Active Directory证书服务迁移您的Windows PKI到AWS私有CA连接器

关键要点

本文介绍了如何将Active Directory证书服务AD CS迁移到AWS私有证书颁发机构CA。AWS私有CA提供高可用性和简单的证书管理，降低了维护和基础设施成本。通过AWS私有CA连接器，能够灵活地为Active Directory用户和计算机颁发证书，实现自助申请。迁移过程包含评估现有的AD CS服务器、设置AWS私有CA和信任的新CA等步骤。

当您将Windows环境迁移到亚马逊网络服务AWS时，可能需要管理Active Directory域中计算机和用户的证书。现在，Windows管理员通常使用Active Directory证书服务AD CS来支持该任务。在本文中，我们将展示如何通过使用AWS私有CA和AWS私有CA连接器将AD CS迁移到AWS私有CA。

AWS私有CA提供了一个高可用的私有证书颁发机构CA服务，无需前期投资和持续的维护成本。通过AWS私有CA提供的API，您可以以编程方式创建和部署私有证书。此外，您还可以为需要自定义证书生命周期或资源名称的应用程序创建私有证书。使用AWS私有CA，您可以创建自己的CA层次结构，并为内部用户、计算机、应用程序、服务、服务器和设备颁发证书，甚至为计算机代码签名。

与Active Directory集成的证书服务的应用场景

AD CS在企业环境中非常常用，因为它将证书管理与Active Directory的身份验证、授权和策略管理结合在一起。AD CS的一个常见用例是证书自动注册。通过AD组策略，您可以配置在用户登录域时自动创建证书，或为每个加入域的工作站或服务器配置计算机证书。之后，可以将这些证书用于身份验证或数字签名。一个常见的用例是在受保护的网络上对设备进行身份验证，例如需要8021x身份验证的有线网络或通过WPA2/3和EAPTLS身份验证的无线网络。自动注册的计算机和用户证书也常用于进行VPN连接身份验证。

在AWS上部署与Active Directory集成的证书服务的选项

在将Windows环境迁移到云时，您可能希望保留与Active Directory集成的CA的能力。虽然您可以直接将AD CS迁移到AWS并在Amazon弹性计算云Amazon EC2实例上运行，但我们将向您展示如何使用AWS私有CA与AD连接器提供集成Active Directory的CA，享受AD CS的好处，同时无需管理AD CS或硬件安全模块HSM。

为什么要将本地CA迁移到AWS私有CA？

将AD CS迁移到AWS私有CA有多个好处。通过AWS私有CA，您将获得简化的证书管理，消除了需要本地CA基础设施的需求，降低了操作复杂性。AWS私有CA提供了一个托管服务，减轻了操作负担，提供了高可用性和可伸缩性。此外，它与其他AWS服务集成，因此在基础设施中管理和部署证书更加简单。AWS私有CA的集中管理、增强的安全性和简化的工作流程可以简化证书的颁发和续订流程，使您更高效地实现安全目标。

AWS会管理基础设施，有助于降低成本，并且自动化功能可防止到期证书可能造成的服务中断。AWS私有CA作为区域服务运营，并提供999的可用性SLA。对于需要最高可用性的环境，您可以在多个AWS区域中部署CA，具体可遵循文档中的冗余和灾难恢复指导。

AWS私有CA连接器为AD环境扩展了私有CA的证书管理。使用AD连接器，您可以为与您的域关联的AD用户和计算机颁发证书。这包括与Windows组策略的集成，以支持证书的自动注册。

如何迁移到AD连接器？

从现有的AD CS服务器过渡到AD连接器涉及几个步骤。

评估和规划

开始之前，请确定您现有AD CS服务器的用例以及证书的颁发方式。在本文中，我们关注于通过组策略自动注册的证书，但您可能还有其他用例，需要通过Web注册服务器或API手动注册证书。这可能包括签名软件包或内部应用程序的Web服务器证书。首先，从现有的AD CS服务器创建证书清单。

从现有AD CS服务器创建证书清单的步骤在Microsoft CA控制台中，选择已颁发证书。从操作菜单中，选择导出列表。

这将生成一个包含服务器已颁发证书的CSV文件。为了确定哪些证书是自动注册政策的一部分，并识别需要手动处理的特殊情况，请按证书模板对该文件进行排序。

设置AWS私有CA和AD连接器

要完成AD连接器的初始设置，请参阅开始使用AWS私有CA连接器。完成设置后，您可以开始将注册过渡到新的CA。

配置信任新CA

根据您的新私有CA在组织公钥基础设施PKI层次结构中的位置，您可能需要确保在颁发新证书之前将其证书导入所有客户端信任库。对于Windows设备，创建AD连接器会将CA证书导入Active Directory，并自动分发到已加入域的计算机信任库。

对于非Windows设备，您需要评估网络上已颁发证书的其他用例，并遵循供应商的指示以更新信任库。例如，如果您使用客户端证书进行有线8021x和WiFi保护访问WPA企业身份验证，则需要将新的根CA证书导入用于身份验证的RADIUS服务器的信任库中。

导出CA证书

下一步是通过AWS管理控制台导出证书。

导出证书的步骤打开AWS私有CA控制台。导航到您的私有CA。选择CA证书选项卡。选择导出证书正文到文件。

将证书注册过渡到新CA

在配置AWS私有CA和AD连接器并根据需要更新信任库之后，您可以开始将证书注册过渡到新CA。在Active Directory域中，证书通常是通过自动注册组策略创建的。要将注册迁移到您的新CA，您需要配置证书模板，使其属性与您的要求相符，分配模板的权限，并配置组策略以指向Windows设备上的新CA。

配置证书模板

证书模板定义CA上的注册政策。Active Directory CA仅颁发符合您已配置的模板的证书。通过从现有AD CS服务器收集的证书清单，您应该有一个在您的环境中活跃使用的证书模板列表，并需要在AD连接器中复制。

首先，注意这些证书模板在现有AD CS服务器上的属性。

注意证书模板属性的步骤在AD CS服务器上打开证书颁发机构控制台。导航到证书模板文件夹。从操作菜单中，选择管理。这将打开证书模板控制台，显示Active Directory中可用的证书模板列表。

对于每个活跃使用的证书，打开它并注意其设置，特别是以下内容：模板名称、有效期和续期从常规选项卡中。证书接收者的兼容性来自兼容性选项卡。证书目的和相关复选框，以及是否允许从请求处理选项卡导出私钥。来自加密选项卡的加密设置。来自扩展选项卡的配置扩展。来自主题名称选项卡的证书主题和主题备用名称设置。检查安全性选项卡，了解具有注册或自动注册权限的Active Directory用户和组的列表。其他权限设置控制哪些AD主体有能力修改或查看模板本身在AWS私有CA中不适用，因为这些权限作用是使用IAM授权。

在收集了活跃使用的证书模板的配置细节后，您需要在AD连接器中配置等效模板。

在AD连接器中配置模板的步骤打开AWS私有CA控制台。导航到私有CA连接器。选择您的连接器。在模板部分，选择创建模板。

然后，您可以开始使用在现有AD CS服务器上获得的设置配置您的证书模板。有关证书模板中可用设置的完整描述，请参阅创建连接器模板。

为模板分配权限。

您必须手动输入分配注册或自动注册权限的Active Directory安全标识符SID。有关如何使用PowerShell获取Active Directory对象的SID的说明，请参阅管理AD组和模板的权限。

我们建议您最初将证书模板分配给一个包含用于测试新CA的一组Active Directory计算机或用户的小测试组。当您确信新CA能够正确颁发证书后，您可以修改权限，将其包含在原AD CS服务器上分配给模板的完整Active Directory用户和计算机组中。

配置组策略以自动注册证书

在AD连接器配置了所需的证书模板后，您已经准备好配置AD组策略以启用用户和计算机证书的自动注册。我们建议您从Active Directory中的测试组织单位OU开始，在其中放置用户和计算机对象，以确保注册正常工作。现有的AD CS服务器和AD连接器可以继续共存，直到您准备好替换证书。

在此示例中，您配置一个链接到名为Test OU的OU的新组策略对象，在其中您将放置用于测试的计算机对象。我们建议创建一个新的GPO，以便您可以在完成测试并对通过AD连接器进行证书注册充满信心后逐步扩展OU范围。

配置新组策略对象的步骤在组策略对象中，找到控制注册的设置，路径为计算机配置 gt 策略 gt Windows设置 gt 安全设置 gt 公钥策略。

配置证书服务客户端 证书注册政策以指向AD连接器的URL： 设置配置模型为启用。将新项添加到证书注册政策列表中。

输入连接器的URL，并将身份验证模式保留为Windows集成。然后选择验证。

注意： 您可以在AWS私有CA连接器控制台的证书注册政策服务器端点中找到连接器的URL。

保存配置后，从列表中删除Active Directory注册政策，以便组策略仅引用AD连接器。完成的配置将类似于以下内容：

在组策略编辑器中，打开证书服务客户端 自动注册政策来配置计算机证书的自动注册。设置配置模型为启用，并选择以下选项：续期过期证书、更新待处理证书、删除被撤销的证书更新使用证书模板的证书

飞鱼加速器永久免费版

配置组策略后，链接到该组策略的OU中的计算机将开始使用AWS私有CA自动注册证书，前提是符合证书模板上的权限定义。要查看证书注册的进展，请使用私有CA审计报告。

完成测试并对证书的推出充满信心后，扩展GPO和Active Directory权限的范围，覆盖更多的用户和计算机。

撤销和退役

您可以持续查看私有CA审计报告，以确认新CA的自动注册证书的进展。如果有计算机很少连接到网络，这可能需要一些时间。作为此过程的一部分，解决您在初始证书清单中识别的非自动注册用例。包括用于内部应用程序的Web服务器证书或用于分发软件包的代码签名证书。您可以使用AWS私有CA API或CLI颁发这些用例的替换证书，而无需依赖Active Directory集成。有关详细信息，请参阅颁发私有终端实体证书。

在所需证书注册后并确认依赖这些证书的服务都能正常运行后，是时候撤销已颁发的证书并退役现有的AD CS服务器了。微软提供了详细文档，说明如何正确撤销证书和退役企业CA，包括清理相关的AD对象。

结论

在本文中，我们介绍了一些Active Directory集成的证书管理用例，并介绍了新的AWS私有CA连接器。AWS私有CA及其AD连接器可以帮助您降低运营开销，简化证书配置的过程，同时保持您在Microsoft AD CS环境中所习惯的Active Directory集成。您学习了如何评估现有的Microsoft CA，并将其迁移到使用AD连接器的AWS私有CA，特别关注了证书的自动注册，这在企业环境中通常用于设备和最终用户的身份