本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
開始使用適用於 SC AWS Private Certificate Authority EP 的連接器
SCEP 的連接器正在的預覽版本中, AWS Private CA 且可能會變更。 |
使用 SCEP AWS Private Certificate Authority 連接器,您可以將憑證從私有 CA 發行至啟用 SCEP 的裝置和行動裝置管理 (MDM) 系統。當您建立連接器時, AWS Private Certificate Authority 會建立公用 SCEP URL 供您要求憑證,並提供您可用來整合至 MDM 系統的資訊。
若要發行憑證,您必須建立 AWS Private Certificate Authority 私有 CA、建立連接器,然後設定啟用 SCEP 的 MDM 系統和裝置,以向連接器要求憑證。
開始之前
接下來的教學課程將引導您完成為 SCEP 建立連接器的過程。
要按照本教程進行操作,您將需要一個私有 CA 和啟用了 SCEP 的設備。您也必須先符合設定用於 SCEP 的連接器區段中列出的先決條件。
下列程序會引導您如何使用 AWS 控制台建立連接器。
步驟 1:建立連接器
您將建立一個連接器以供一般用途使用,或為 Microsoft Intune 的 SCEP 建立連接器。一般用途連接器是專為與具有 SCEP 功能的端點搭配使用而設計,而且您可以管理 SCEP 挑戰密碼。Microsoft Intune 的 SCEP 連接器是與 Microsoft Intune 一起使用,並且您管理挑戰密碼使用 Microsoft Intune。
- General-purpose
-
若要建立一般用途的連接器
登入您的 AWS 帳戶,然後在以下位https://console.aws.amazon.com/pca-connector-scep/home
置開啟 SCEP 主控台的連接器。
-
選擇 Create connector (建立連接器)。
-
在 [建立連接器] 頁面中,選擇性地在 [名稱標籤] 欄位中為連接器指定好記名稱。名稱將顯示在連接器清單中。如果需要,您可以選取 [新增更多標籤],將更多標籤新增至連接器。標籤是指派給 AWS 資源的標籤。每個標籤皆包含索引鍵與選用值。您可以使用標籤來搜尋和篩選資源或追蹤 AWS 成本。
-
在「連接器類型」下,選擇「一般用途」。
-
在「私人 CA」下,選擇要與此連接器搭配使用的私有 CA。或者,透過選取建立私有 CA 來建立新的 CA。由於 SCEP 通訊協定中的固有弱點,我們建議您使用專用於此連接器的私有 CA。如果您已建立新 CA,則在中完成建立後 AWS Private CA,請返回 SCEP 主控台的連接器,並重新整理私有 CA 清單。您的新私有 CA 應該可供選擇。
-
在 [問題密碼] 下方,選取 [自動產生挑戰 當我們建立此連接器時,我們會為您產生靜態挑戰密碼。
-
選取建立連接器。
- Microsoft Intune
-
若要建立適用於 Microsoft Intune 的 SCEP 連接器
登入您的 AWS 帳戶,然後在以下位https://console.aws.amazon.com/pca-connector-scep/home
置開啟 SCEP 主控台的連接器。
-
選擇 Create connector (建立連接器)。
-
在 [建立連接器] 頁面上,選擇性地在 [名稱標籤] 欄位中為連接器指定好記名稱。名稱將顯示在連接器清單中。如果需要,您可以選取 [新增更多標籤],將更多標籤新增至連接器。標籤是指派給 AWS 資源的標籤。每個標籤皆包含索引鍵與選用值。您可以使用標籤來搜尋和篩選資源或追蹤 AWS 成本。
-
在 [連接器類型] 下,選擇 [Microsoft Intune]。
針對應用程式 (用戶端) 識別碼,請輸入 Microsoft Entra ID 應用程式註冊中的應用程式 (用戶端) 識別碼。如需有關針對 SCEP 使用 Microsoft Intune 與連接器的資訊,請參閱。將連接器用於搭配 MDM 系統的 SCEP
針對目錄 (租用戶) 識別碼或主要網域,請輸入 Microsoft Entra ID 應用程式註冊中的目錄 (租用戶) 識別碼或主要網域。
-
在「私人 CA」下,選擇要與此連接器搭配使用的私有 CA。或者,透過選取建立私有 CA 來建立新的 CA。由於 SCEP 通訊協定中的固有弱點,我們建議您使用專用於此連接器的私有 CA。如果您已建立新 CA,則在中完成建立後 AWS Private CA,請返回 SCEP 主控台的連接器,並重新整理私有 CA 清單。您的新私有 CA 應該可供選擇。
-
選取建立連接器。
步驟 2:將連接器詳細資料複製到 MDM 系統
建立連接器後,您需要將下列詳細資料從連接器複製到 MDM 系統中。若要使用主控台檢視連接器的詳細資料,請從 SCEP 主控台的連接器頁面上的清單中選取連接器。
公用 SCEP URL-這是您的 SCEP 用戶端要求憑證的連接器端點。請注意僅將此端點提供給受信任的實體。
(一般用途) 挑戰密碼-在 [挑戰密碼] 下,選取您在上述程序中自動產生的密碼,然後選取 [檢視密碼] 以檢視密碼。若要建立其他密碼,請選取 [建立密碼]。小心謹慎地將密碼分發給高度信任的個人和客戶。單一挑戰密碼可用來核發任何憑證,包含任何主旨和 SAN,因此應小心處理。
(Microsoft Intune) 開放識別碼值-如果您要與 Microsoft Intune 整合,您必須將開放識別碼發行者、開放識別碼主旨和開放識別碼受眾複製到您的 Microsoft 應用程式註冊的 OpenID Connect (OIDC) 認證中。如需更多詳細資訊,請參閱 將連接器用於搭配 MDM 系統的 SCEP。