設定用於 SCEP 的連接器 - AWS Private Certificate Authority
步驟 1:建立 AWS Identity and Access Management 策略步驟 2:建立私有 CA步驟 3:建立資源共用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定用於 SCEP 的連接器

SCEP 的連接器正在的預覽版本中, AWS Private CA 且可能會變更。

本節中的程序可協助您開始使用 SCEP 的連接器。它假設您已經創建了一個 AWS 帳戶。完成此頁面中的步驟後,您可以繼續為 SCEP 建立連接器。

步驟 1:建立 AWS Identity and Access Management 策略

若要為 SCEP 建立連接器,您需要建立 IAM 政策,讓 SCEP 的 Connector 能夠建立和管理連接器所需的資源,以及代表您發行憑證。如需 IAM 的詳細資訊,請參閱什麼是 IAM?IAM 使用者指南中。

下列範例是可用於 SCEP 連接器的客戶管理原則。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "pca-connector-scep:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm-pca:DescribeCertificateAuthority",
                "acm-pca:GetCertificate",
                "acm-pca:GetCertificateAuthorityCertificate",
                "acm-pca:ListCertificateAuthorities",
                "acm-pca:ListTags",
                "acm-pca:PutPolicy"                
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "acm-pca:IssueCertificate",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*"
                },
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "pca-connector-scep.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:CreateResourceShare",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareAssociations",
                "ram:GetResourceShares",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:ListResourceSharePermissions",
                "ram:ListResourceTypes"
            ],
            "Resource": "*"
        }
    ]
}

步驟 2:建立私有 CA

若要使用 SCEP 的連接器,您需要將私人 CA 從 AWS Private Certificate Authority 與連接器相關聯。由於 SCEP 通訊協定中存在固有的安全性弱點,因此建議您使用僅適用於連接器的私有 CA。

私有 CA 必須符合下列要求:

  • 它必須處於作用中狀態,並使用一般用途的操作模式。

  • 您必須擁有私有 CA。您無法使用透過跨帳戶共用與您共用的私有 CA。

將私有 CA 設定為搭配 SCEP 的連接器使用時,請注意下列考量事項:

  • DNS 名稱限制 — 請考慮使用 DNS 名稱限制來控制針對 SCEP 裝置發行的憑證中允許或禁止哪些網域。如需詳細資訊,請參閱如何在 AWS Private Certificate Authority.

  • 撤銷 — 在您的私有 CA 上啟用 OCSP 或 CRL 以允許撤銷。如需詳細資訊,請參閱 設定憑證撤銷方法

  • PII — 我們建議您不要在 CA 憑證中新增個人識別資訊 (PII) 或其他機密或敏感資訊。如果發生安全漏洞,這有助於限制敏感信息的暴露。

  • 根憑證儲存在信任存放區 — 將根 CA 憑證儲存在裝置信任存放區中,以便您可以驗證憑證和的傳回值GetCertificateAuthorityCertificate。如需信任存放區相關的資訊 AWS Private CA,請參閱根 CA

如需如何建立私有 CA 的詳細資訊,請參閱建立私有 CA

步驟 3:使用建立資源共用 AWS Resource Access Manager

如果您以程式設計方式使用 SCEP 的連接器 AWS Command Line Interface,以 AWS 程式設計方式使用 SCEP 的連接器,則需要使用 AWS Resource Access Manager 服務主體共用與 SCEP 的連接器共用私有 CA。這可讓 SCEP 的連接器共用存取您的私有 CA。當您在 AWS 主控台中建立連接器時,我們會自動為您建立資源共用。如需有關資源共用的資訊,請參閱AWS RAM 使用指南中的建立資源共

若要使用建立資源共用 AWS CLI,您可以使用 AWS RAM create-resource-share指令。下面的命令創建一個資源共享。指定您要共用的私有 CA 的 ARN 作為資 arns 的值。

$  aws ram create-resource-share \
--region us-east-1 \
--name MyPcaConnectorScepResourceShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \
--resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID \
--principals pca-connector-scep.amazonaws.com \
--sources account

呼叫的服務主體在私CreateConnector有 CA 上具有憑證發行權限。若要防止使用 SCEP Connector 的服務主體具有 AWS 私有 CA 資源的一般存取權,請使用來限制其權限。CalledVia