開始使用適用於 SC AWS Private Certificate Authority EP 的連接器 - AWS Private Certificate Authority
開始之前步驟 1:建立連接器步驟 2:將連接器詳細資料複製到 MDM 系統

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

開始使用適用於 SC AWS Private Certificate Authority EP 的連接器

SCEP 的連接器正在的預覽版本中, AWS Private CA 且可能會變更。

使用 SCEP AWS Private Certificate Authority 連接器,您可以將憑證從私有 CA 發行至啟用 SCEP 的裝置和行動裝置管理 (MDM) 系統。當您建立連接器時, AWS Private Certificate Authority 會建立公用 SCEP URL 供您要求憑證,並提供您可用來整合至 MDM 系統的資訊。

若要發行憑證,您必須建立 AWS Private Certificate Authority 私有 CA、建立連接器,然後設定啟用 SCEP 的 MDM 系統和裝置,以向連接器要求憑證。

開始之前

接下來的教學課程將引導您完成為 SCEP 建立連接器的過程。

要按照本教程進行操作,您將需要一個私有 CA 和啟用了 SCEP 的設備。您也必須先符合設定用於 SCEP 的連接器區段中列出的先決條件。

下列程序會引導您如何使用 AWS 控制台建立連接器。

步驟 1:建立連接器

您將建立一個連接器以供一般用途使用,或為 Microsoft Intune 的 SCEP 建立連接器。一般用途連接器是專為與具有 SCEP 功能的端點搭配使用而設計,而且您可以管理 SCEP 挑戰密碼。Microsoft Intune 的 SCEP 連接器是與 Microsoft Intune 一起使用,並且您管理挑戰密碼使用 Microsoft Intune。

General-purpose
若要建立一般用途的連接器

登入您的 AWS 帳戶,然後在以下位https://console.aws.amazon.com/pca-connector-scep/home置開啟 SCEP 主控台的連接器。

  1. 選擇 Create connector (建立連接器)

  2. 在 [建立連接器] 頁面中,選擇性地在 [名稱標籤] 欄位中為連接器指定好記名稱。名稱將顯示在連接器清單中。如果需要,您可以選取 [新增更多標籤],將更多標籤新增至連接器。標籤是指派給 AWS 資源的標籤。每個標籤皆包含索引鍵與選用值。您可以使用標籤來搜尋和篩選資源或追蹤 AWS 成本。

  3. 在「連接器類型」下,選擇「一般用途」。

  4. 在「私人 CA」下,選擇要與此連接器搭配使用的私有 CA。或者,透過選取建立私有 CA 來建立新的 CA。由於 SCEP 通訊協定中的固有弱點,我們建議您使用專用於此連接器的私有 CA。如果您已建立新 CA,則在中完成建立後 AWS Private CA,請返回 SCEP 主控台的連接器,並重新整理私有 CA 清單。您的新私有 CA 應該可供選擇。

  5. 在 [問題密碼] 下方,選取 [自動產生挑戰 當我們建立此連接器時,我們會為您產生靜態挑戰密碼。

  6. 選取建立連接器

Microsoft Intune
若要建立適用於 Microsoft Intune 的 SCEP 連接器

登入您的 AWS 帳戶,然後在以下位https://console.aws.amazon.com/pca-connector-scep/home置開啟 SCEP 主控台的連接器。

  1. 選擇 Create connector (建立連接器)

  2. 在 [建立連接器] 頁面上,選擇性地在 [名稱標籤] 欄位中為連接器指定好記名稱。名稱將顯示在連接器清單中。如果需要,您可以選取 [新增更多標籤],將更多標籤新增至連接器。標籤是指派給 AWS 資源的標籤。每個標籤皆包含索引鍵與選用值。您可以使用標籤來搜尋和篩選資源或追蹤 AWS 成本。

  3. 在 [連接器類型] 下,選擇 [Microsoft Intune]。

    1. 針對應用程式 (用戶端) 識別碼,請輸入 Microsoft Entra ID 應用程式註冊中的應用程式 (用戶端) 識別碼。如需有關針對 SCEP 使用 Microsoft Intune 與連接器的資訊,請參閱。將連接器用於搭配 MDM 系統的 SCEP

    2. 針對目錄 (租用戶) 識別碼或主要網域,請輸入 Microsoft Entra ID 應用程式註冊中的目錄 (租用戶) 識別碼或主要網域。

  4. 在「私人 CA」下,選擇要與此連接器搭配使用的私有 CA。或者,透過選取建立私有 CA 來建立新的 CA。由於 SCEP 通訊協定中的固有弱點,我們建議您使用專用於此連接器的私有 CA。如果您已建立新 CA,則在中完成建立後 AWS Private CA,請返回 SCEP 主控台的連接器,並重新整理私有 CA 清單。您的新私有 CA 應該可供選擇。

  5. 選取建立連接器

步驟 2:將連接器詳細資料複製到 MDM 系統

建立連接器後,您需要將下列詳細資料從連接器複製到 MDM 系統中。若要使用主控台檢視連接器的詳細資料,請從 SCEP 主控台的連接器頁面上的清單中選取連接器。

  • 公用 SCEP URL-這是您的 SCEP 用戶端要求憑證的連接器端點。請注意僅將此端點提供給受信任的實體。

  • (一般用途) 挑戰密碼-在 [挑戰密碼] 下,選取您在上述程序中自動產生的密碼,然後選取 [檢視密碼] 以檢視密碼。若要建立其他密碼,請選取 [建立密碼]。小心謹慎地將密碼分發給高度信任的個人和客戶。單一挑戰密碼可用來核發任何憑證,包含任何主旨和 SAN,因此應小心處理。

  • (Microsoft Intune) 開放識別碼值-如果您要與 Microsoft Intune 整合,您必須將開放識別碼發行者、開放識別碼主旨和開放識別碼受眾複製到您的 Microsoft 應用程式註冊的 OpenID Connect (OIDC) 認證中。如需更多詳細資訊,請參閱 將連接器用於搭配 MDM 系統的 SCEP