Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer le connecteur pour SCEP
Les procédures décrites dans cette section vous aident à démarrer avec Connector forSCEP. Cela suppose que vous avez déjà créé un AWS compte. Après avoir effectué les étapes de cette page, vous pouvez procéder à la création d'un connecteur pourSCEP.
Rubriques
Étape 1 : créer une AWS Identity and Access Management politique
Pour créer un connecteur pourSCEP, vous devez créer une IAM politique qui accorde à Connector SCEP la capacité de créer et de gérer les ressources nécessaires au connecteur, et d'émettre des certificats en votre nom. Pour plus d'informations, IAM voir Qu'est-ce que c'est IAM ? dans le guide de IAM l'utilisateur.
L'exemple suivant est une politique gérée par le client que vous pouvez utiliser pour Connector forSCEP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "pca-connector-scep:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListCertificateAuthorities", "acm-pca:ListTags", "acm-pca:PutPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "acm-pca:IssueCertificate", "Resource": "*", "Condition": { "StringLike": { "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "pca-connector-scep.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:GetResourcePolicies", "ram:GetResourceShareAssociations", "ram:GetResourceShares", "ram:ListPrincipals", "ram:ListResources", "ram:ListResourceSharePermissions", "ram:ListResourceTypes" ], "Resource": "*" } ] }
Étape 2 : créer une autorité de certification privée
Pour utiliser Connector for, SCEP vous devez associer une autorité de certification privée AWS Private Certificate Authority au connecteur. Nous vous recommandons d'utiliser une autorité de certification privée uniquement pour le connecteur, en raison des failles de sécurité inhérentes au SCEP protocole.
L'autorité de certification privée doit répondre aux exigences suivantes :
Il doit être actif et utiliser le mode de fonctionnement général.
Vous devez être propriétaire de l'autorité de certification privée. Vous ne pouvez pas utiliser une autorité de certification privée qui a été partagée avec vous par le biais du partage entre comptes.
Tenez compte des considérations suivantes lors de la configuration de votre autorité de certification privée à utiliser avec Connector pour SCEP :
DNScontraintes de nom — Envisagez d'utiliser des contraintes de DNS nom pour contrôler les domaines autorisés ou interdits dans les certificats émis pour vos SCEP appareils. Pour plus d'informations, consultez Comment appliquer les contraintes de DNS nom dans AWS Private Certificate Authority
. Révocation — Activez OCSP ou CRLs activez votre autorité de certification privée pour autoriser la révocation. Pour de plus amples informations, veuillez consulter Planifiez la méthode de révocation de votre AWS Private CA certificat.
PII— Nous vous conseillons de ne pas ajouter d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans vos certificats CA. En cas de faille de sécurité, cela permet de limiter l'exposition d'informations sensibles.
Stocker les certificats racines dans les magasins de confiance : stockez vos certificats CA racine dans les magasins de confiance de votre appareil, afin de pouvoir vérifier les certificats et les valeurs de retour de GetCertificateAuthorityCertificate. Pour plus d'informations sur les magasins de confiance auxquels ils se rapportent AWS Private CA, consultezRoot CA .
Pour plus d'informations sur la création d'une autorité de certification privée, consultezCréez une autorité de certification privée dans AWS Private CA.
Étape 3 : créer un partage de ressources à l'aide de AWS Resource Access Manager
Si vous utilisez Connector pour SCEP utiliser le AWS Command Line Interface, ou Connector pour AWS SDK SCEPAPI, vous devez partager votre autorité de certification privée avec Connector for en SCEP utilisant le partage principal de AWS Resource Access Manager service. Cela donne à Connector SCEP un accès partagé à votre autorité de certification privée. Lorsque vous créez un connecteur dans la AWS console, nous créons automatiquement le partage de ressources pour vous. Pour plus d'informations sur le partage de ressources, voir Création d'un partage de ressources dans le guide de AWS RAM l'utilisateur.
Pour créer un partage de ressources à l'aide de AWS CLI, vous pouvez utiliser la AWS RAM create-resource-share commande. La commande suivante crée un partage de ressources. Spécifiez ARN la valeur de l'autorité de certification privée que vous souhaitez partager resource-arns.
$aws ram create-resource-share \ --regionus-east-1\ --nameMyPcaConnectorScepResourceShare\ --permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \ --resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID\ --principals pca-connector-scep.amazonaws.com \ --sourcesaccount
Le principal de service qui appelle CreateConnector dispose des autorisations d'émission de certificats sur l'autorité de certification privée. Pour empêcher les responsables de service qui utilisent Connector for SCEP d'avoir un accès général à vos Autorité de certification privée AWS ressources, limitez leurs autorisations d'utilisationCalledVia.
