开始使用 Connector SCEP - AWS Private Certificate Authority
开始前的准备工作步骤 1:创建连接器步骤 2:将连接器详细信息复制到MDM系统中

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

开始使用 Connector SCEP

使用 C AWS Private Certificate Authority onnector forSCEP,您可以从您的私有 CA 向SCEP启用了功能的设备和移动设备管理 (MDM) 系统颁发证书。创建连接器时, AWS Private Certificate Authority 会创建一个公共连接器SCEPURL供您申请证书,还会为您提供可用于集成到MDM系统中的信息。

要颁发证书,必须创建 AWS Private Certificate Authority 私有 CA,创建连接器,然后将SCEP已启用的MDM系统和设备配置为向连接器请求证书。

开始前的准备工作

以下教程将指导您完成为创建连接器的过程SCEP。

要学习本教程,你需要一个私有 CA 和一SCEP台支持该功能的设备。您还必须首先满足本将 “连接器” 设置为 SCEP节中列出的先决条件。

以下过程指导您如何使用 AWS 控制台创建连接器。

步骤 1:创建连接器

你要么创建一个用于通用用途的连接器,要么创建用于 Microsoft Intune SCEP 的连接器。通用连接器专为与SCEP启用的端点配合使用而设计,您可以管理SCEP质询密码。微软 Intune 连接器SCEP适用于微软 Intune,你可以使用 Microsoft Intune 管理质询密码。

General-purpose
创建用于通用用途的连接器

登录您的 AWS 账户并打开SCEP主机连接器,网址为https://console.aws.amazon.com/pca-connector-scep/home

  1. 选择 Create connector (创建连接器)

  2. 在 “创建连接器” 页面中,可以选择在 “名称标记” 字段中为连接器指定一个友好名称。该名称将显示在您的连接器列表中。如果您愿意,可以通过选择 “添加更多标签” 向连接器添加更多标签。标签是您分配给 AWS 资源的标签。每个标签都由一个键和一个可选值组成。您可以使用标签来搜索和筛选资源或跟踪 AWS 成本。

  3. 在 “连接器类型” 下,选择 “通用”。

  4. 在 “私有 CA” 下,选择要用于此连接器的私有 CA。或者,通过选择 “创建私有 CA” 来创建一个新的 CA。由于SCEP协议中存在固有的漏洞,我们建议使用专用于此连接器的私有 CA。如果您创建了新 CA,则在中完成创建后 AWS Private CA,请返回SCEP控制台的 Connector 并刷新私有列表CAs。您的新私有 CA 应该可供选择。

  5. 在 “质询密码” 下,选择 “自动生成质询密码”。创建此连接器时,我们将为您生成一个静态质询密码。

  6. 选择 “创建连接器”。

Microsoft Intune
为微软 Intune 创建 C SCEP onnector

登录您的 AWS 账户并打开SCEP主机连接器,网址为https://console.aws.amazon.com/pca-connector-scep/home

  1. 选择 Create connector (创建连接器)

  2. 创建连接器页面上,可以选择在名称标签字段中为连接器指定一个友好名称。该名称将显示在您的连接器列表中。如果您愿意,可以通过选择 “添加更多标签” 向连接器添加更多标签。标签是您分配给 AWS 资源的标签。每个标签都由一个键和一个可选值组成。您可以使用标签来搜索和筛选资源或跟踪 AWS 成本。

  3. 在 “连接器类型” 下,选择 Microsoft Intune

    1. 对于应用程序(客户端)ID,请输入您的 Microsoft Entra ID 应用程序注册中的应用程序(客户端)ID。有关使用带有 Connector 的 Microsoft Intune 的信息SCEP,请参阅将您的MDM系统配置为连接器 SCEP

    2. 对于目录(租户)ID 或主域,请输入您的 Microsoft Entra ID 应用程序注册中的目录(租户)ID 或主域。

  4. 在 “私有 CA” 下,选择要用于此连接器的私有 CA。或者,通过选择 “创建私有 CA” 来创建一个新的 CA。由于SCEP协议中存在固有的漏洞,我们建议使用专用于此连接器的私有 CA。如果您创建了新 CA,则在中完成创建后 AWS Private CA,请返回SCEP控制台的 Connector 并刷新私有列表CAs。您的新私有 CA 应该可供选择。

  5. 选择 “创建连接器”。

步骤 2:将连接器详细信息复制到MDM系统中

创建连接器后,您需要将以下详细信息从连接器复制到MDM系统中。要使用控制台查看连接器的详细信息,请从 “控制台连接器” 页面的SCEP列表中选择该连接器

  • P@@ ub lic SCEP URL-这是连接器的终端节点,您的SCEP客户端将从中请求证书。注意仅将此端点提供给可信实体。

  • (通用)质询密码-在 “挑战密码” 下,选择您在上述过程中自动生成的密码,然后选择 “查看密码” 以查看密码。要创建其他密码,请选择创建密码。请注意谨慎分发密码,并且仅向高度信任的个人和客户分发密码。单个质询密码可用于颁发任何证书,包括任何主题和SANs,因此应谨慎处理。

  • (Microsoft Intune)Ope n ID 值——如果你要与微软 Intune 集成,则必须将开放身份证颁发者开放身份主题和开放身份受众复制到微软 Entra 应用程序注册的 OpenID Connect () 凭证中。OIDC有关更多信息,请参阅 将您的MDM系统配置为连接器 SCEP