公開キー基盤 (PKI) では、デジタル証明書の作成、管理、配布、保存、および取り消しを行います。Windows 環境では、デジタル証明書を使用して、複数のタイプの接続を保護します。接続タイプには、Microsoft Active Directory LDAPS (Lightweight Directory Access Protocol over Secure Sockets Layer) のルックアップ、Internet Information Services (IIS) HTTPS 接続、Exchange Server 通信、および Windows Server Update Services (WSUS) があります。
Amazon Web Services (AWS) アカウント内で Windows がホストする PKI を利用することで、独自の証明書を維持できます。この機能により、安全でない未署名のネットワークトラフィックを削減しやすくなります。Windows に PKI 環境をデプロイするには、1 台以上の Windows サーバーに認証局 (CA) ロールをインストールして設定します。
この Microsoft PKI ソリューションでは、ルート CA と下位 CA の両方をデプロイします。ルート CA は、Active Directory フォレストのプライマリ認証局として機能します。ルート CA によって生成された証明書が、下位 CA によって発行されたサーバー証明書とアプリケーション証明書に署名します。このソリューションでは、最初のルート証明書を自動的に生成し、次にルート CA の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの電源をオフにします。このインスタンスを、新しいルート証明書の生成が必要なとき以外はオフラインにすることで、ルート証明書の整合性を確保できます。
このソリューションは AWS によって開発されました。
-
構築するもの
-
デプロイ方法
-
コストとライセンス
-
構築するもの
-
このソリューションでは以下のセットアップを行います。
- 2 つのアベイラビリティーゾーンにまたがるアーキテクチャ。*
- AWS のベストプラクティスに基づいてパブリックサブネットおよびプライベートサブネットが構成された Virtual Private Cloud (VPC)。AWS で独自の仮想ネットワークを実現します。*
- パブリックサブネット内:
- マネージド型 Network Address Translation (NAT) ゲートウェイ。プライベートサブネット内のリソースに対するアウトバウンドのインターネットアクセスを可能にします。*
- Auto Scaling グループ内のリモートデスクトップゲートウェイ (RD ゲートウェイ) インスタンス。パブリックサブネットとプライベートサブネット内の EC2 インスタンスへのインバウンドのリモートデスクトッププロトコル (RDP) アクセスを可能にします。*
- プライベートサブネット内:
- アベイラビリティーゾーン 1 で、Windows を実行する EC2 インスタンス。オフラインのルート CA として機能します。
- アベイラビリティーゾーン 2 で、Windows を実行する EC2 インスタンス。下位 CA として機能します。
- AWS Directory Service。Active Directory 証明書サービス (AD CS) 環境のデプロイに役立ちます。*
- 認証情報を保存するための AWS Secrets Manager。
- AWS Systems Manager。CA のデプロイプロセスを自動化し、生成された証明書を保存します。
- AWS Identity and Access Management (IAM)。EC2 インスタンスと Systems Manager Automation ドキュメントがタスクを実行できるようにします。
* ソリューションを既存の VPC にデプロイするテンプレートは、アスタリスクが付けられたコンポーネントをスキップし、既存の VPC 設定に誘導します。
-
デプロイ方法
-
デプロイガイドの手順に従って、Microsoft PKI をデプロイします。デプロイプロセスには約 30 分かかり、次のステップが含まれます。
- AWS アカウントをお持ちでない場合は、https://aws.amazon.com でサインアップし、アカウントにサインインしてください。
- ソリューションを起動します。次の 2 つのオプションから選択できます。
- デプロイをテストします。
Amazon は、本ソリューションで AWS と協力した AWS パートナーとユーザーデプロイ情報を共有する場合があります。
- AWS アカウントをお持ちでない場合は、https://aws.amazon.com でサインアップし、アカウントにサインインしてください。
-
コストとライセンス
-
このソリューションリファレンスデプロイの実行中に使用した AWS のサービスのコストは、お客様が負担します。このソリューションを使用しても追加コストは発生しません。
このソリューションの AWS CloudFormation テンプレートには、カスタマイズ可能な設定パラメータが含まれています。インスタンスタイプなどの設定の一部は、デプロイにかかるコストに影響します。料金の見積もりについては、利用する AWS の各サービスの料金ページを参照してください。料金は変更される場合があります。
このソリューションでは、Microsoft Windows Server を実行する EC2 インスタンスをデプロイします。Windows Server のライセンスは、AWS でご用意します。
このソリューションの実行中に使用した AWS のサービスおよびサードパーティーライセンスのコストは、お客様のご負担となります。このソリューションを使用しても追加コストは発生しません。
このソリューションには、カスタマイズ可能な設定パラメータが含まれています。インスタンスタイプなどの設定の一部は、デプロイにかかるコストに影響します。料金の見積もりについては、利用する AWS の各サービスの料金ページを参照してください。料金は変更される場合があります。
ヒント: ソリューションをデプロイした後、 AWS Cost and Usage Report を作成し、関連するコストを追跡します。これらのレポートは、お客様のアカウントでの Amazon Simple Storage Service (Amazon S3) バケットへの請求メトリクスを提供します。毎月の使用量に基づいてコストを見積もり、月末のデータを集計します。詳細については、 AWS Cost and Usage Report とはを参照してください。
