déploiement de référence

Infrastructure à clé publique Microsoft sur AWS

Réduire le trafic réseau non sécurisé et non signé

Afficher le guide de déploiement

Une infrastructure à clé publique (PKI) crée, gère, distribue, stocke et révoque des certificats numériques. Les environnements Windows utilisent des certificats numériques pour sécuriser plusieurs types de connexions. Les types de connexion incluent des recherches pour Microsoft Active Directory LDAPS (Lightweight Directory Access Protocol over Secure Sockets Layer), des connexions HTTPS d'Internet Information Services (IIS), des communications Exchange Server et des Windows Server Update Services (WSUS).

Un PKI hébergé sous Windows dans un compte Amazon Web Services (AWS) vous permet de conserver vos propres certificats. Cette fonctionnalité vous permet de réduire le trafic réseau non sécurisé et non signé. Pour déployer un environnement PKI sur Windows, installez et configurez des rôles d'autorité de certification (CA) sur un ou plusieurs serveurs Windows.

Cette solution Microsoft PKI déploie aussi bien le CA racine que le CA subordonné. Le CA racine fait office d'autorité de certification principale pour une forêt ActiveIBM Cloud Pak for Security sur AWS Directory. Les certificats générés par le CA racine signent les certificats de serveur et d'application émis par le CA subordonné. La solution génère automatiquement un certificat racine initial, puis désactive l'instance Amazon Elastic Compute Cloud (Amazon EC2) du CA racine. Cette instance reste hors ligne sauf lorsqu'un nouveau certificat racine doit être généré, ce qui permet de garantir l'intégrité du certificat racine.

Cette solution a été développée par AWS.

  •  Votre projet de création

  • Cette solution met en place les éléments suivants :

    • Une architecture couvrant deux zones de disponibilité.*
    • Un Virtual Private Cloud (VPC) configuré avec des sous-réseaux publics et privés, conformément aux bonnes pratiques AWS, afin de disposer de votre propre réseau virtuel sur AWS.*
    • Dans les sous-réseaux publics :
      • Des passerelles NAT (Network Address Translation) gérées pour autoriser l'accès Internet sortant pour les ressources des sous-réseaux privés.*
      • Une instance Remote Desktop Gateway (RD Gateway) dans un groupe Auto Scaling pour autoriser les accès entrants Remote Desktop Protocol (RDP) aux instances Amazon EC2 des sous-réseaux publics et privés.*
    • Dans les sous-réseaux privés :
      • Dans la zone de disponibilité 1, une instance EC2 exécutant Windows pour servir de CA racine hors ligne.
      • Dans la zone de disponibilité 2, une instance EC2 exécutant Windows pour servir de CA racine subordonné.
    • AWS Directory Service, qui permet de déployer un environnement Active Directory Certificate Services (AD CS).*
    • AWS Secrets Manager pour stocker des informations d'identification.
    • AWS Systems Manager pour automatiser le processus de déploiement du CA et stocker les certificats générés.
    • AWS Identity and Access Management (IAM) pour permettre aux instances EC2 et aux documents d'automatisation Systems Manager d'effectuer leurs tâches.

    Le modèle qui déploie la solution dans un VPC existant ignore les tâches marquées d'un astérisque et vous demande d'indiquer la configuration de votre VPC existant.

  •  Procédure de déploiement

  • Pour déployer PKI Microsoft, suivez les instructions du guide de déploiement. Le processus de déploiement prend environ 30 minutes et comprend les étapes suivantes :

    1. Si vous n'avez pas encore de compte AWS, créez-en-sur https://aws.amazon.com et connectez-vous à votre compte.
    2. Lancez la solution. Vous pouvez choisir entre les deux options ci-dessous :
    3. Testez le déploiement.

    Amazon peut être amené à partager les informations relatives au déploiement des utilisateurs avec le partenaire AWS qui a élaboré cette solution en collaboration avec AWS.  

    Pour plus d'informations, consultez le guide de déploiement
  •  Coût et licences

  • Vous êtes responsable du paiement du coût des services AWS utilisés lors de l'exécution du déploiement de référence de la solution. L'utilisation de cette solution n'entraîne aucun coût supplémentaire.

    Les modèles AWS CloudFormation pour cette solution incluent des paramètres de configuration que vous pouvez personnaliser. Certains de ces paramètres, tel que le type d'instance, affectent le coût du déploiement. Reportez-vous aux pages de tarification pour les estimations de coûts de chaque service AWS que vous utilisez. Les prix sont susceptibles d'être modifiés.

    Cette solution déploie des instances EC2 qui exécutent Microsoft Windows Server. Les licences Windows Server sont fournies par AWS.

    Vous êtes responsable du paiement du coût des services AWS et des licences tierces utilisées lors de l'exécution de cette solution. Aucun frais supplémentaire ne vous sera facturé pour l'utilisation de la solution.

    Cette solution propose des paramètres de configuration que vous pouvez personnaliser. Certains de ces paramètres, tel que le type d'instance, affectent le coût du déploiement. Reportez-vous aux pages de tarification pour les estimations de coûts de chaque service AWS que vous utilisez. Les prix sont susceptibles d'être modifiés.

    Astuce : après avoir déployé une solution, créez des Rapports de coût et d'utilisation AWS afin de suivre les coûts afférents à la solution. Ces rapports fournissent des métriques de facturation à un compartiment Amazon Simple Storage Service (Amazon S3) dans votre compte. Ils fournissent des estimations de coûts basées sur l'utilisation mensuelle et agrègent les données à la fin du mois. Pour en savoir plus, consultez la section Qu'est-ce que les rapports de coût et d'utilisation AWS ?