使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

激活基于证书的身份验证后,为什么无法连接到我的 WorkSpace?

1 分钟阅读
0

我为 Amazon WorkSpaces 激活了基于证书的身份验证,但现在无法连接到我的 WorkSpace。

解决方法

在激活基于证书的身份验证后,您可能会遇到以下问题:

  • 当您连接到 WorkSpace 时,WorkSpaces 客户端或 Windows 登录屏幕会提示您输入密码。
  • WorkSpaces 客户端尝试连接到 WorkSpace 但断开了连接,您会收到 You have been disconnected 错误。
  • 当您尝试进行身份验证时,您会收到 An error occurred while launching your WorkSpace 错误。

要解决基于证书的身份验证的连接问题,请首先重启 WorkSpace 以启用基于证书的身份验证。

**注意:**您可能需要重启 WorkSpace 两次才能使更改生效。

如果重启后仍然有连接问题,请执行以下操作。

关闭基于证书的身份验证并检查 SAML 2.0 身份验证是否正常工作。如果 SAML 2.0 身份验证有问题,请参阅 How do I troubleshoot SAML 2.0 authentication issues in WorkSpaces?

验证 AWS Private Certificate Authority 证书是否具有密钥名称为 euc-private-ca 的标记。

使用 AWS Identity and Access Management(IAM)控制台来检查 AmazonWorkSpacesPCAAccess 角色是否存在。如果缺少该角色,则创建 AmazonWorkspacespacess 服务角色

如果使用的是名称约束扩展,则名称约束必须是完全限定域名(FQDN)。使用主机名或域名,例如 host.example.comexample.com。有关更多信息,请参阅 IETF Datatracker 网站上的 Name constraints

检查用户的 Microsoft Active Directory 对象中的 userPrincipalName 字段。如果该字段包含备用后缀,则将该后缀作为 PrincipalTag:Domain 属性元素的 Attribute 值包括在内。有关更多信息,请参阅 Step 5: Create assertions for the SAML authentication response

验证您的 Amazon Simple Storage Service(Amazon S3)存储桶策略是否允许 Amazon CloudFront 访问 S3 存储桶来源。此外,检查 S3 存储桶策略是否允许 AWS Private CA 访问 S3 存储桶。AWS Private CA 将证书吊销列表(CRL)放入存储桶并定期更新 CRL。

检查 CRL 是否已过期。从 S3 存储桶下载 CRL,使用 OpenSSL 查看 CRL 文件,然后检查下次更新日期。

如果仍然无法访问 WorkSpace,请参阅 My users cannot log in using certificate-based authentication and are prompted for the password either at the WorkSpaces client or the Windows sign-on screen when they connect to their desktop session

相关信息

How to configure certificate-based authentication for Amazon WorkSpaces

AWS 官方
AWS 官方已更新 2 个月前