翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Connector for SCEP の考慮事項と制限を理解する
Connector for SCEP を使用する場合は、次の考慮事項と制限事項に注意してください。
考慮事項
CA オペレーションモード
Connector for SCEP は、汎用オペレーションモードを使用するプライベート CAs でのみ使用できます。Connector for SCEP は、デフォルトで有効期間が 1 年の証明書を発行します。有効期間が短い証明書モードを使用するプライベート CA は、有効期間が 7 日を超える証明書の発行をサポートしていません。操作モードの詳細については、「」を参照してくださいAWS Private CA CA モードを理解する。
チャレンジパスワード
チャレンジパスワードは慎重に配布し、信頼の高い個人やクライアントとのみ共有してください。1 つのチャレンジパスワードを使用して、任意のサブジェクトと SANs を含む任意の証明書を発行できます。これにより、セキュリティ上のリスクが生じます。
汎用コネクタを使用する場合は、チャレンジパスワードを手動で頻繁に更新することをお勧めします。
RFC 8894 への準拠
Connector for SCEP は、HTTP エンドポイントではなく HTTPS エンドポイントを提供することで、RFC 8894
CSRs
Connector for SCEP に送信される証明書署名リクエスト (CSR) に拡張キー使用量 (EKU) 拡張機能が含まれていない場合は、EKU 値を に設定します
clientAuthentication。詳細については、「4.2.1.12」を参照してください。RFC 5280 での拡張キーの使用。 CSR では、
ValidityPeriodおよびValidityPeriodUnitsカスタム属性がサポートされています。 CSRs CSR に が含まれていない場合ValidityPeriod、1 年間の有効期間を持つ証明書が発行されます。MDM システムでこれらの属性を設定できない可能性があることに注意してください。ただし、設定できる場合は、サポートされます。これらの属性の詳細については、「szENROLLMENT_NAME_VALUE_PAIR」を参照してください。
エンドポイント共有
コネクタのエンドポイントを信頼できる当事者にのみ配布します。一意の完全修飾ドメイン名とパスを見つけることができるすべてのユーザーが CA 証明書を取得できるため、エンドポイントをシークレットとして扱います。
制限
Connector for SCEP には、次の制限が適用されます。
動的チャレンジパスワード
静的チャレンジパスワードは、汎用コネクタでのみ作成できます。汎用コネクタで動的パスワードを使用するには、コネクタの静的パスワードを使用する独自のローテーションメカニズムを構築する必要があります。Connector for SCEP for Microsoft Intune コネクタタイプは、Microsoft Intune を使用して管理する動的パスワードをサポートします。
HTTP
Connector for SCEP は HTTPS のみをサポートし、HTTP 呼び出しのリダイレクトを作成します。システムが HTTP に依存している場合は、Connector for SCEP が提供する HTTP リダイレクトに対応できることを確認してください。
共有プライベート CAs
Connector for SCEP は、自分が所有者であるプライベート CAs でのみ使用できます。
