Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer le connecteur pour SCEP
Les procédures décrites dans cette section vous aident à démarrer avec Connector for SCEP. Cela suppose que vous avez déjà créé un AWS compte. Après avoir effectué les étapes de cette page, vous pouvez créer un connecteur pour le SCEP.
Rubriques
Étape 1 : Création d'une AWS Identity and Access Management politique
Pour créer un connecteur pour SCEP, vous devez créer une politique IAM qui accorde à Connector for SCEP la capacité de créer et de gérer les ressources nécessaires au connecteur, et d'émettre des certificats en votre nom. Pour plus d'informations sur l'IAM, voir Qu'est-ce que l'IAM ? dans le guide de l'utilisateur IAM.
L'exemple suivant est une politique gérée par le client que vous pouvez utiliser pour Connector for SCEP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "pca-connector-scep:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListCertificateAuthorities", "acm-pca:ListTags", "acm-pca:PutPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "acm-pca:IssueCertificate", "Resource": "*", "Condition": { "StringLike": { "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "pca-connector-scep.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:GetResourcePolicies", "ram:GetResourceShareAssociations", "ram:GetResourceShares", "ram:ListPrincipals", "ram:ListResources", "ram:ListResourceSharePermissions", "ram:ListResourceTypes" ], "Resource": "*" } ] }
Étape 2 : créer une autorité de certification privée
Pour utiliser Connector for SCEP, vous devez associer une autorité de certification privée AWS Private Certificate Authority au connecteur. Nous vous recommandons d'utiliser une autorité de certification privée uniquement pour le connecteur, en raison des failles de sécurité inhérentes au protocole SCEP.
L'autorité de certification privée doit répondre aux exigences suivantes :
Il doit être actif et utiliser le mode de fonctionnement général.
Vous devez être propriétaire de l'autorité de certification privée. Vous ne pouvez pas utiliser une autorité de certification privée qui a été partagée avec vous par le biais du partage entre comptes.
Tenez compte des considérations suivantes lors de la configuration de votre autorité de certification privée à utiliser avec Connector for SCEP :
Contraintes de nom DNS — Envisagez d'utiliser des contraintes de nom DNS pour contrôler les domaines autorisés ou interdits dans les certificats émis pour vos appareils SCEP. Pour plus d'informations, consultez Comment appliquer les contraintes de nom DNS dans AWS Private Certificate Authority
. Révocation — Activez OCSP ou CRLs sur votre autorité de certification privée pour autoriser la révocation. Pour de plus amples informations, veuillez consulter Planifiez la méthode de révocation de votre AWS Private CA certificat.
PII — Nous vous conseillons de ne pas ajouter d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans vos certificats CA. En cas de faille de sécurité, cela permet de limiter l'exposition d'informations sensibles.
Stocker les certificats racines dans les magasins de confiance : stockez vos certificats CA racine dans les magasins de confiance de votre appareil, afin de pouvoir vérifier les certificats et les valeurs de retour de GetCertificateAuthorityCertificate. Pour plus d'informations sur les magasins de confiance auxquels ils se rapportent AWS Private CA, consultezRoot CA .
Pour plus d'informations sur la création d'une autorité de certification privée, consultezCréez une autorité de certification privée dans AWS Private CA.
Étape 3 : créer un partage de ressources à l'aide de AWS Resource Access Manager
Si vous utilisez Connector for SCEP par programmation à l'aide du AWS SDK ou de l' AWS Command Line Interface API Connector for SCEP, vous devez partager votre autorité de certification privée avec Connector for SCEP en utilisant le partage principal de service. AWS Resource Access Manager Cela donne à Connector for SCEP un accès partagé à votre autorité de certification privée. Lorsque vous créez un connecteur dans la AWS console, nous créons automatiquement le partage de ressources pour vous. Pour plus d'informations sur le partage de ressources, voir Création d'un partage de ressources dans le guide de AWS RAM l'utilisateur.
Pour créer un partage de ressources à l'aide de AWS CLI, vous pouvez utiliser la AWS RAM create-resource-share commande. La commande suivante crée un partage de ressources. Spécifiez l'ARN de l'autorité de certification privée que vous souhaitez partager en tant que valeur deresource-arns.
$aws ram create-resource-share \ --regionus-east-1\ --nameMyPcaConnectorScepResourceShare\ --permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \ --resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID\ --principals pca-connector-scep.amazonaws.com \ --sourcesaccount
Le principal de service qui appelle CreateConnector dispose des autorisations d'émission de certificats sur l'autorité de certification privée. Pour empêcher les responsables de service qui utilisent Connector for SCEP d'avoir un accès général à vos Autorité de certification privée AWS ressources, limitez leurs autorisations en utilisant. CalledVia
