我为 Amazon WorkSpaces 激活了基于证书的身份验证,但现在无法连接到我的 WorkSpace。
在激活基于证书的身份验证后,您可能会遇到以下问题:
要解决基于证书的身份验证的连接问题,请首先重启 WorkSpace 以启用基于证书的身份验证。
**注意:**您可能需要重启 WorkSpace 两次才能使更改生效。
如果重启后仍然有连接问题,请执行以下操作。
关闭基于证书的身份验证并检查 SAML 2.0 身份验证是否正常工作。如果 SAML 2.0 身份验证有问题,请参阅 How do I troubleshoot SAML 2.0 authentication issues in WorkSpaces?
验证 AWS Private Certificate Authority 证书是否具有密钥名称为 euc-private-ca 的标记。
使用 AWS Identity and Access Management(IAM)控制台来检查 AmazonWorkSpacesPCAAccess 角色是否存在。如果缺少该角色,则创建 AmazonWorkspacespacess 服务角色。
如果使用的是名称约束扩展,则名称约束必须是完全限定域名(FQDN)。使用主机名或域名,例如 host.example.com 或 example.com。有关更多信息,请参阅 IETF Datatracker 网站上的 Name constraints。
检查用户的 Microsoft Active Directory 对象中的 userPrincipalName 字段。如果该字段包含备用后缀,则将该后缀作为 PrincipalTag:Domain 属性元素的 Attribute 值包括在内。有关更多信息,请参阅 Step 5: Create assertions for the SAML authentication response。
验证您的 Amazon Simple Storage Service(Amazon S3)存储桶策略是否允许 Amazon CloudFront 访问 S3 存储桶来源。此外,检查 S3 存储桶策略是否允许 AWS Private CA 访问 S3 存储桶。AWS Private CA 将证书吊销列表(CRL)放入存储桶并定期更新 CRL。
检查 CRL 是否已过期。从 S3 存储桶下载 CRL,使用 OpenSSL 查看 CRL 文件,然后检查下次更新日期。
如果仍然无法访问 WorkSpace,请参阅 My users cannot log in using certificate-based authentication and are prompted for the password either at the WorkSpaces client or the Windows sign-on screen when they connect to their desktop session。
How to configure certificate-based authentication for Amazon WorkSpaces