implementazione di riferimento

Infrastruttura a chiave pubblica Microsoft su AWS

Riduci il traffico di rete non sicuro e non firmato

Consulta la guida all'implementazione

Un'infrastruttura a chiave pubblica (public key infrastructure, PKI) crea, gestisce, distribuisce e revoca i certificati digitali. Gli ambienti Windows usano certificati digitali per proteggere vari tipi di connessioni. I tipi di connessione includono ricerche di Microsoft Active Directory LDAPS (Lightweight Directory Access Protocol over Secure Sockets Layer), collegamenti HTTPS Internet Information Services (IIS), comunicazioni Exchange Server e Windows Server Update Services (WSUS).

Con una PKI ospitata su Windows in un account Amazon Web Services (AWS), puoi mantenere i tuoi certificati personali. Questa possibilità contribuisce a ridurre il traffico di rete non sicuro e non firmato. Per implementare un ambiente PKI in Windows, installare e configurare i ruoli dell'autorità di certificazione (certification authority, CA) su uno o più server Windows.

Questa soluzione Microsoft PKI implementa sia una CA root sia una CA subordinata. La CA root funge da autorità di certificazione principale per una foresta Active Directory. I certificati generati dalla CA root firmano il server e i certificati dell'applicazione emessi dalla CA subordinata. La soluzione genera automaticamente un certificato root iniziale e poi disabilita l'istanza Amazon Elastic Compute Cloud (Amazon EC2) della CA root. Questa istanza non è in linea, finché non è necessario generare un nuovo certificato root, perciò in tal modo contribuisce a garantire l'integrità del certificato root.

Questa soluzione è stata sviluppata da AWS.

  •  Attività che realizzerai

  • Questa soluzione AWS prevede quanto segue:

    • Un'architettura che si estende su due zone di disponibilità.*
    • Un Virtual Private Cloud (VPC) configurato con sottoreti pubbliche e private, come da best practice AWS, per offrirti una rete virtuale personale in AWS.*
    • Nelle sottoreti pubbliche:
      • Gateway NAT (Network Address Translation) gestiti per permettere l'accesso Internet in uscita alle risorse all'interno delle sottoreti private.*
      • Un'istanza del gateway desktop remoto (RD Gateway) in un gruppo Auto Scaling per permettere l'accesso al protocollo RDP (Remote Desktop Protocol) in ingresso alle istanze EC2 nelle sottoreti pubbliche e private.*
    • Nelle sottoreti private:
      • Nella zona di disponibilità 1, un'istanza EC2 che esegue Windows per fungere da CA root non in linea.
      • Nella zona di disponibilità 2, un'istanza EC2 che esegue Windows per fungere da CA subordinata.
    • AWS Directory Service, che favorisce l'implementazione di un ambiente Active Directory Certificate Services (AD CS).*
    • AWS Secrets Manager per archiviare le credenziali.
    • AWS Systems Manager per automatizzare il processo di implementazione delle CA e archiviare i certificati generati.
    • AWS Identity and Access Management (IAM) per abilitare le istanze EC2 e i documenti di automazione Systems Manager affinché eseguano i loro incarichi.

    * Il modello che implementa la soluzione su un VPC esistente non include i componenti contrassegnati con asterisco e richiede la configurazione del VPC esistente.

  •  Come effettuare l'implementazione

  • Per implementare Microsoft PKI, segui le istruzioni nella guida all'implementazione. Il processo di implementazione richiede circa 30 minuti e comprende le seguenti fasi:

    1. Se non disponi ancora di un account AWS, registrati su https://aws.amazon.com e accedi al tuo account.
    2. Avvia la soluzione. Puoi scegliere tra due opzioni:
    3. Prova la distribuzione

    Amazon può condividere informazioni relative all'implementazione con il Partner AWS che ha collaborato con AWS a questa soluzione.  

    Per ulteriori dettagli, consulta la guida all’implementazione
  •  Costi e licenze

  • Saranno addebitati i costi dei servizi AWS utilizzati per eseguire questa implementazione di riferimento della soluzione. L'uso di questa soluzione non prevede costi aggiuntivi.

    I modelli di AWS CloudFormation per questa soluzione comprendono alcuni parametri di configurazione personalizzabili. Alcune di queste impostazioni, ad esempio il tipo di istanza, incideranno sul costo dell'implementazione. Per una stima dei costi di ogni servizio AWS utilizzato, consulta la pagina dei prezzi. I prezzi sono soggetti a modifiche.

    Questa soluzione implementa istanze EC2 che eseguono Microsoft Windows Server. Le licenze per Windows Server sono fornite da AWS.

    Verranno addebitati i costi dei servizi AWS e di qualsiasi licenza di terze parti utilizzati per eseguire questa soluzione. Non sono previsti costi aggiuntivi per l'utilizzo della soluzione.

    Questa soluzione include alcuni parametri di configurazione personalizzabili. Alcune di queste impostazioni, ad esempio il tipo di istanza, incideranno sul costo dell'implementazione. Per una stima dei costi di ogni servizio AWS utilizzato, consulta la pagina dei prezzi. I prezzi sono soggetti a modifiche.

    Suggerimento: dopo l'implementazione della soluzione, crea report di costi e utilizzo di AWS per monitorare i costi associati. Questi report forniscono i parametri di fatturazione a un bucket Amazon Simple Storage Service (Amazon S3) nel tuo account. Inoltre, essi forniscono i costi stimati in base al consumo con cadenza mensile e aggregano i dati alla fine del mese. Per ulteriori informazioni, consulta Che cosa sono i report di costi e utilizzo AWS?