开始使用适用于 SCEP 的连接器 - AWS Private Certificate Authority
开始前的准备工作步骤 1:创建连接器步骤 2:将连接器详细信息复制到 MDM 系统中

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

开始使用适用于 SCEP 的连接器

使用适用于 SCEP 的 Conn AWS Private Certificate Authority ector,您可以从私有 CA 向支持 SCEP 的设备和移动设备管理 (MDM) 系统颁发证书。创建连接器时, AWS Private Certificate Authority 会创建一个公共 SCEP URL 供您申请证书,还会为您提供可用于集成到 MDM 系统的信息。

要颁发证书,必须创建 AWS Private Certificate Authority 私有 CA,创建连接器,然后将启用 SCEP 的 MDM 系统和设备配置为向连接器请求证书。

开始前的准备工作

以下教程将指导您完成为 SCEP 创建连接器的过程。

要学习本教程,你需要一个私有 CA 和一台支持 SCEP 的设备。您还必须首先满足本为 SCEP 设置连接器节中列出的先决条件。

以下过程指导您如何使用 AWS 控制台创建连接器。

步骤 1:创建连接器

你要么创建一个用于通用用途的连接器,要么为 Microsoft Intune 创建用于 SCEP 的连接器。通用连接器专为与启用 SCEP 的端点配合使用而设计,您可以管理 SCEP 质询密码。适用于微软 Intune 的 SCEP 连接器适用于微软 Intune,你可以使用 Microsoft Intune 管理质询密码。

General-purpose
创建用于通用用途的连接器

登录您的 AWS 账户,打开适用于 SCEP 的连接器控制台,网址为https://console.aws.amazon.com/pca-connector-scep/home

  1. 选择 Create connector (创建连接器)

  2. 在 “创建连接器” 页面中,可以选择在 “名称标记” 字段中为连接器指定一个友好名称。该名称将显示在您的连接器列表中。如果您愿意,可以通过选择 “添加更多标签” 向连接器添加更多标签。标签是您分配给 AWS 资源的标签。每个标签都由一个键和一个可选值组成。您可以使用标签来搜索和筛选资源或跟踪 AWS 成本。

  3. 在 “连接器类型” 下,选择 “通用”。

  4. 在 “私有 CA” 下,选择要用于此连接器的私有 CA。或者,通过选择 “创建私有 CA” 来创建一个新的 CA。由于 SCEP 协议中存在固有的漏洞,我们建议使用专用于此连接器的私有 CA。如果您创建了新 CA,则在中完成创建后,请返回 Con AWS Private CA nector for SCEP 控制台并刷新私有 CAs列表。您的新私有 CA 应该可供选择。

  5. 在 “质询密码” 下,选择 “自动生成质询密码”。创建此连接器时,我们将为您生成一个静态质询密码。

  6. 选择创建连接器

Microsoft Intune
为微软 Intune 的 SCEP 创建 Connector

登录您的 AWS 账户,打开适用于 SCEP 的连接器控制台,网址为https://console.aws.amazon.com/pca-connector-scep/home

  1. 选择 Create connector (创建连接器)

  2. 创建连接器页面上,可以选择在名称标签字段中为连接器指定一个友好名称。该名称将显示在您的连接器列表中。如果您愿意,可以通过选择 “添加更多标签” 向连接器添加更多标签。标签是您分配给 AWS 资源的标签。每个标签都由一个键和一个可选值组成。您可以使用标签来搜索和筛选资源或跟踪 AWS 成本。

  3. 在 “连接器类型” 下,选择 Microsoft Intune

    1. 对于应用程序(客户端)ID,请输入您的 Microsoft Entra ID 应用程序注册中的应用程序(客户端)ID。有关使用带连接器的 Microsoft Intune for SCEP 的信息,请参阅。为适用于 SCEP 的连接器配置 MDM 系统

    2. 对于目录(租户)ID 或主域,请输入您的 Microsoft Entra ID 应用程序注册中的目录(租户)ID 或主域。

  4. 在 “私有 CA” 下,选择要用于此连接器的私有 CA。或者,通过选择 “创建私有 CA” 来创建一个新的 CA。由于 SCEP 协议中存在固有的漏洞,我们建议使用专用于此连接器的私有 CA。如果您创建了新 CA,则在中完成创建后,请返回 Con AWS Private CA nector for SCEP 控制台并刷新私有 CAs列表。您的新私有 CA 应该可供选择。

  5. 选择创建连接器

步骤 2:将连接器详细信息复制到 MDM 系统中

创建连接器后,您需要将以下详细信息从连接器复制到 MDM 系统中。要使用控制台查看连接器的详细信息,请从 SCEP 连接器控制台页面的列表中选择该连接器

  • 公共 SCEP 网址-这是连接器的端点,您的 SCEP 客户端将从中请求证书。注意仅将此端点提供给可信实体。

  • (通用)质询密码-在 “挑战密码” 下,选择您在上述过程中自动生成的密码,然后选择 “查看密码” 以查看密码。要创建其他密码,请选择创建密码。请注意谨慎分发密码,并且仅向高度信任的个人和客户分发密码。单个质询密码可用于颁发任何证书,包括任何主题和 SANs,因此应谨慎处理。

  • (Microsoft Intune)Ope n ID 值——如果你要与微软 Intune 集成,则必须将开放身份证颁发者、开放身份主题和开放身份受众复制到微软 Entra 应用程序注册的 OpenID Connect (OIDC) 凭证中。有关更多信息,请参阅 为适用于 SCEP 的连接器配置 MDM 系统