Referenzbereitstellung

Microsoft Public Key Infrastructure on AWS

Reduzieren von unsicherem und nicht unterzeichnetem Netzwerkverkehr

Bereitstellungs-Leitfaden anzeigen

Eine Public Key Infrastructure (PKI) erstellt, verwaltet, verteilt, speichert und annulliert digitale Zertifikate. Windows-Umgebungen nutzen digitale Zertifikate um mehrere Verbindungsarten zu sichern. Diese Verbindungsarten enthalten Lookups für die Microsoft Active Directory LDAPS (Lightweight Directory Access Protocol over Secure Sockets Layer), Internet Information Services (IIS) HTTPS-Verbindungen, Exchange Server-Kommunikationen und Windows Server Update Services (WSUS).

Mit einem von Windows gehosteten PKI in einem Amazon Web Services (AWS)-Konto, können Sie Ihre eigenen Zertifikate behalten. Diese Fähigkeit hilft Ihnen unsicheren und nicht unterzeichneten Netzwerkverkehr zu reduzieren. Um eine PKI-Umgebung in Windows bereit zu stellen, müssen Sie die Certification Authority (CA)-Rollen in einem oder mehreren Windows-Servern installieren und einstellen.

Bei dieser Microsoft PKI-Lösung werden sowohl eine Stamm-CA als auch eine untergeordnete CA eingesetzt. Die Grund-CA funktioniert als primäre Zertifizierung-Authorität für einen Active Directory Forest. Die vom Grund-CA erstellten Zertifikate unterschreiben die Server- und Anwendungszertifikate, welche von der untergeordneten CA ausgestellt wurden. Die Lösung generiert automatisch ein erstes Stammzertifikat und schaltet dann die Amazon Elastic Compute Cloud (Amazon EC2)-instance der Stammzertifizierungsstelle ab. Diese Instance bleibt offline, außer wenn ein neues Grundzertifikat erstellt werden muss. Dadurch wird die Integrität des Grundzertifikats gesichert.

Diese Lösung wurde von AWS entwickelt.

  •  Ihre Möglichkeiten

  • Diese Lösung sieht Folgendes vor:

    • Eine Architektur, die zwei Availability Zones umfasst.*
    • Eine Virtual Private Cloud (VPC), die gemäß den bewährten Methoden von AWS mit öffentlichen und privaten Subnetzen konfiguriert ist, damit Ihnen in AWS Ihr eigenes virtuelles Netzwerk zur Verfügung steht.*
    • In den öffentlichen Subnetzen:
      • Verwaltete Network-Address-Translation(NAT)-Gateways ermöglichen den ausgehenden Internetzugriff für Ressourcen in den privaten Subnetzen.*
      • Ein Remote Desktop Gateway (RD Gateway)-Instance in einer Auto Scaling-Gruppe, um dam eingehenden Remote-Desktop-Protokoll (RDP) Zugang zu EC2-Instances in öffentlichen und privaten Subnetzen zu erlauben.*
    • In den privaten Subnetzen:
      • In der Availability Zone 1, wird Windows von einer EC2-Instance ausgeführt um als offline Grund-CA zu dienen.
      • In der Availability Zone 2, wird Windows von einer EC2-Instance ausgeführt um als untergeordnetes CA zu dienen.
    • Der AWS Directory Service hilft eine Active Directory Certificate Services (AD CS)-Umgebung bereit zu stellen.*
    • Der AWS Secrets Manager speichert Anmeldeinformationen.
    • Der AWS Systems Manager automatisiert den Bereitstellungsprozess von CA und speichert erstellte Zertifikate.
    • Der AWS Identity and Access Management (IAM) aktiviert die EC2-Instances und System Manager Automation Documents um ihre Aufgaben auszuführen.

    * Die mit einem Sternchen gekennzeichneten Komponenten werden von der Vorlage übersprungen, um die Lösung in einer bestehenden VPC bereitzustellen, und Sie werden stattdessen nach Ihrer aktuellen VPC-Konfiguration gefragt.

  •  Bereitstellungsanleitung

  • Zur Bereitstellung auf Microsoft PKI befolgen Sie die Anweisungen im Bereitstellungshandbuch. Der Bereitstellungsprozess dauert etwa 30 Minuten und umfasst die folgenden Schritte:

    1. Wenn Sie noch kein AWS-Konto haben, registrieren Sie sich unter https://aws.amazon.com und melden Sie sich bei Ihrem Konto an.
    2. Starten Sie die Lösung. Sie können zwischen Optionen wählen:
    3. Testen Sie die Bereitstellung.

    Amazon kann Informationen zur Benutzerbereitstellung an den AWS-Partner weitergeben, der mit AWS an dieser Lösung zusammengearbeitet hat.  

    Bereitstellungs-Leitfaden mit Details anzeigen
  •  Kosten und Lizenzen

  • Sie sind für die Kosten der AWS-Services verantwortlich, die während der Ausführung dieser Referenzbereitstellung der Lösung benutzt werden. Für die Benutzung dieser Lösung fallen keine zusätzlichen Kosten an.

    Die AWS CloudFormation-Vorlagen für diese Lösung enthalten Konfigurationsparameter, die Sie anpassen können. Einige dieser Einstellungen, beispielsweise der Instance-Typ, wirken sich auf die Bereitstellungskosten aus. Kostenvoranschläge finden Sie auf den Preisseiten der einzelnen AWS-Services, die Sie nutzen. Preisänderungen sind vorbehalten.

    Bei dieser Lösung werden EC2-Instanzen mit Microsoft Windows Server eingesetzt. Die Windows Server-Lizenzen werden von AWS zur Verfügung gestellt.

    Sie tragen die Kosten für die AWS-Services und alle Lizenzen von Drittanbietern, die bei der Nutzung dieser Lösung verwendet werden. Für die Nutzung der Lösung fallen keine zusätzlichen Kosten an.

    Diese Lösung umfasst Konfigurationsparameter, die Sie anpassen können. Einige dieser Einstellungen, beispielsweise der Instance-Typ, wirken sich auf die Bereitstellungskosten aus. Kostenvoranschläge finden Sie auf den Preisseiten der einzelnen AWS-Services, die Sie nutzen. Preisänderungen sind vorbehalten.

    Tipp: Erstellen Sie nach dem Bereitstellen einer Lösung AWS-Kosten- und -Nutzungsberichte, um die damit verbundenen Kosten zu verfolgen. Diese Berichte liefern Abrechnungsmetriken an einen Amazon Simple Storage Service (Amazon S3)-Bucket in Ihrem Konto. Sie liefern Kostenschätzungen auf der Grundlage der Nutzung während jedes Monats und aggregieren die Daten am Ende des Monats. Weitere Informationen finden Sie unter  Was sind AWS-Kosten- und Nutzungsberichte?