Beginnen Sie mit Connector für SCEP - AWS Private Certificate Authority
Bevor Sie beginnenSchritt 1: Erstellen Sie einen ConnectorSchritt 2: Kopieren Sie die Konnektordetails in Ihr MDM-System

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beginnen Sie mit Connector für SCEP

Mit AWS Private Certificate Authority Connector for SCEP können Sie Zertifikate von Ihrer privaten CA für SCEP-fähige Geräte und MDM-Systeme (Mobile Device Management) ausstellen. Wenn Sie einen Connector erstellen, AWS Private Certificate Authority erstellt er eine öffentliche SCEP-URL, über die Sie Zertifikate anfordern können, und stellt Ihnen außerdem Informationen zur Verfügung, die Sie für die Integration in Ihre MDM-Systeme verwenden können.

Um Zertifikate auszustellen, müssen Sie eine AWS Private Certificate Authority private Zertifizierungsstelle und einen Connector erstellen und anschließend Ihre SCEP-fähigen MDM-Systeme und -Geräte so konfigurieren, dass Zertifikate vom Connector angefordert werden.

Bevor Sie beginnen

Das folgende Tutorial führt Sie durch den Prozess der Erstellung eines Connectors für SCEP.

Um diesem Tutorial zu folgen, benötigen Sie eine private CA und ein SCEP-fähiges Gerät. Außerdem müssen Sie zunächst die im Abschnitt aufgeführten Voraussetzungen erfüllen. Connector für SCEP einrichten

Das folgende Verfahren zeigt Ihnen, wie Sie mithilfe der AWS Konsole einen Connector erstellen.

Schritt 1: Erstellen Sie einen Connector

Sie erstellen entweder einen Connector für allgemeine Zwecke oder einen Connector für SCEP für Microsoft Intune. Allzweck-Connectors sind für die Verwendung mit SCEP-fähigen Endpunkten konzipiert, und Sie verwalten die SCEP-Challenge-Passwörter. Connector für SCEP for Microsoft Intune sind für die Verwendung mit Microsoft Intune vorgesehen, und Sie verwalten die Challenge-Passwörter mit Microsoft Intune.

General-purpose
Um einen Connector für allgemeine Zwecke zu erstellen

Melden Sie sich bei Ihrem AWS Konto an und öffnen Sie die Connector for SCEP-Konsole unter. https://console.aws.amazon.com/pca-connector-scep/home

  1. Wählen Sie Konnektor erstellen.

  2. Geben Sie dem Connector auf der Seite „Connector erstellen“ optional einen benutzerfreundlichen Namen im Feld „Namenstag“. Der Name wird in Ihrer Konnektorliste angezeigt. Wenn Sie möchten, können Sie dem Connector weitere Tags hinzufügen, indem Sie Weitere Tags hinzufügen auswählen. Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Jedes Tag besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags verwenden, um Ihre Ressourcen zu suchen und zu filtern oder Ihre AWS Kosten zu verfolgen.

  3. Wählen Sie unter Connectortyp die Option Allzweck aus.

  4. Wählen Sie unter Private CA die private CA aus, die mit diesem Connector verwendet werden soll. Oder erstellen Sie eine neue, indem Sie Private CA erstellen auswählen. Aufgrund der inhärenten Sicherheitslücken im SCEP-Protokoll empfehlen wir, eine private CA zu verwenden, die für diesen Connector reserviert ist. Wenn Sie eine neue Zertifizierungsstelle erstellt haben, kehren Sie nach Abschluss der Erstellung in AWS Private CA zur Connector for SCEP-Konsole zurück und aktualisieren Sie die Liste der privaten Zertifizierungsstellen. CAs Ihre neue private CA sollte zur Auswahl stehen.

  5. Wählen Sie unter Challenge-Passwort die Option Challenge-Passwort automatisch generieren Wir generieren ein statisches Challenge-Passwort für Sie, wenn wir diesen Connector erstellen.

  6. Wählen Sie Connector erstellen aus.

Microsoft Intune
So erstellen Sie Connector für SCEP für Microsoft Intune

Melden Sie sich bei Ihrem AWS Konto an und öffnen Sie die Connector for SCEP-Konsole unter. https://console.aws.amazon.com/pca-connector-scep/home

  1. Wählen Sie Konnektor erstellen.

  2. Geben Sie dem Connector auf der Seite „Connector erstellen“ optional einen benutzerfreundlichen Namen im Feld „Namenstag“. Der Name wird in Ihrer Konnektorliste angezeigt. Wenn Sie möchten, können Sie dem Connector weitere Tags hinzufügen, indem Sie Weitere Tags hinzufügen auswählen. Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Jedes Tag besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags verwenden, um Ihre Ressourcen zu suchen und zu filtern oder Ihre AWS Kosten zu verfolgen.

  3. Wählen Sie unter Connectortyp die Option Microsoft Intune aus.

    1. Geben Sie für Anwendungs-ID (Client) die Anwendungs-ID (Client) aus Ihrer Microsoft Entra ID-App-Registrierung ein. Informationen zur Verwendung von Microsoft Intune mit Connector für SCEP finden Sie unter. Konfigurieren Sie Ihr MDM-System für Connector for SCEP

    2. Geben Sie für Verzeichnis-ID (Mandanten-ID) oder primäre Domain entweder die Verzeichnis-ID (Mandanten-ID) oder die primäre Domain aus Ihrer Microsoft Entra ID-App-Registrierung ein.

  4. Wählen Sie unter Private CA die private CA aus, die mit diesem Connector verwendet werden soll. Oder erstellen Sie eine neue, indem Sie Private CA erstellen auswählen. Aufgrund der inhärenten Sicherheitslücken im SCEP-Protokoll empfehlen wir, eine private CA zu verwenden, die für diesen Connector reserviert ist. Wenn Sie eine neue Zertifizierungsstelle erstellt haben, kehren Sie nach Abschluss der Erstellung in AWS Private CA zur Connector for SCEP-Konsole zurück und aktualisieren Sie die Liste der privaten Zertifizierungsstellen. CAs Ihre neue private CA sollte zur Auswahl stehen.

  5. Wählen Sie Connector erstellen aus.

Schritt 2: Kopieren Sie die Konnektordetails in Ihr MDM-System

Nachdem Sie Ihren Connector erstellt haben, müssen Sie die folgenden Details aus dem Connector in Ihr MDM-System kopieren. Um die Details eines Connectors mithilfe der Konsole anzuzeigen, wählen Sie den Connector aus der Liste auf der Konsolenseite Connectors for SCEP aus.

  • Öffentliche SCEP-URL — Dies ist der Endpunkt des Connectors, von dem Ihre SCEP-Clients Zertifikate anfordern. Achten Sie darauf, diesen Endpunkt nur vertrauenswürdigen Entitäten zur Verfügung zu stellen.

  • (Allgemein) Challenge-Passwort — Wählen Sie unter Challenge-Passwörter das Passwort aus, das Sie im vorherigen Verfahren automatisch generiert haben, und wählen Sie dann Passwort anzeigen aus, um das Passwort einzusehen. Um ein zusätzliches Passwort zu erstellen, wählen Sie Passwort erstellen aus. Achten Sie darauf, Passwörter sorgfältig und nur an vertrauenswürdige Personen und Kunden zu verteilen. Ein einziges Challenge-Passwort kann verwendet werden, um jedes Zertifikat mit beliebigem Betreff auszustellen und sollte daher mit Vorsicht behandelt werden. SANs

  • (Microsoft Intune) Open ID-Werte — Wenn Sie mit Microsoft Intune integrieren, müssen Sie den Open ID-Aussteller, den Open ID-Betreff und die Open ID-Zielgruppe in die OpenID Connect (OIDC) -Anmeldeinformationen Ihrer Microsoft Entra-App-Registrierung kopieren. Weitere Informationen finden Sie unter Konfigurieren Sie Ihr MDM-System für Connector for SCEP.