SCEP Amazon Private Certificate Authority 连接器入门 - Amazon Private Certificate Authority
开始前的准备工作步骤 1:创建连接器步骤 2:将连接器详细信息复制到 MDM 系统中
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SCEP Amazon Private Certificate Authority 连接器入门

SCEP 连接器处于预览版 Amazon Private CA ,可能会发生变化。

使用适用于 SCEP 的 Conn Amazon Private Certificate Authority ector,您可以从私有 CA 向支持 SCEP 的设备和移动设备管理 (MDM) 系统颁发证书。创建连接器时, Amazon Private Certificate Authority 会创建一个公共 SCEP URL 供您申请证书,还会为您提供可用于集成到 MDM 系统的信息。

要颁发证书,必须创建 Amazon Private Certificate Authority 私有 CA,创建连接器,然后将启用 SCEP 的 MDM 系统和设备配置为向连接器请求证书。

开始前的准备工作

以下教程将引导您完成为 SCEP 创建连接器的过程。

要学习本教程,你需要一个私有 CA 和一台支持 SCEP 的设备。您还必须首先满足本为 SCEP 设置连接器节中列出的先决条件。

以下过程指导您如何使用 Amazon 控制台创建连接器。

步骤 1:创建连接器

你要么创建一个用于通用用途的连接器,要么为 Microsoft Intune 创建用于 SCEP 的连接器。通用连接器专为与启用 SCEP 的端点配合使用而设计,您可以管理 SCEP 质询密码。适用于微软 Intune 的 SCEP 连接器适用于微软 Intune,你可以使用 Microsoft Intune 管理质询密码。

General-purpose
创建用于通用用途的连接器

登录您的 Amazon 账户,打开适用于 SCEP 的连接器控制台,网址为https://console.aws.amazon.com/pca-connector-scep/home

  1. 选择 Create connector (创建连接器)

  2. 在 “创建连接器” 页面中,可以选择在 “名称标记” 字段中为连接器指定一个友好名称。该名称将显示在您的连接器列表中。如果您愿意,可以通过选择 “添加更多标签” 向连接器添加更多标签。标签是您分配给 Amazon 资源的标签。每个标签都由一个键和一个可选值组成。您可以使用标签来搜索和筛选资源或跟踪 Amazon 成本。

  3. 在 “连接器类型” 下,选择 “通用”。

  4. 在 “私有 CA” 下,选择要用于此连接器的私有 CA。或者,通过选择 “创建私有 CA” 来创建一个新的 CA。由于 SCEP 协议中存在固有的漏洞,我们建议使用专用于此连接器的私有 CA。如果您创建了新 CA,则在中 Amazon Private CA完成创建后,请返回 Connector for SCEP 控制台并刷新私有 CA 列表。您的新私有 CA 应该可供选择。

  5. 在 “质询密码” 下,选择 “自动生成质询密码”。创建此连接器时,我们将为您生成一个静态质询密码。

  6. 选择 “创建连接器”。

Microsoft Intune
为微软 Intune 的 SCEP 创建 Connector

登录您的 Amazon 账户,打开适用于 SCEP 的连接器控制台,网址为https://console.aws.amazon.com/pca-connector-scep/home

  1. 选择 Create connector (创建连接器)

  2. 在 “创建连接器” 页面上,可以选择在 “名称标记” 字段中为连接器指定一个友好名称。该名称将显示在您的连接器列表中。如果您愿意,可以通过选择 “添加更多标签” 向连接器添加更多标签。标签是您分配给 Amazon 资源的标签。每个标签都由一个键和一个可选值组成。您可以使用标签来搜索和筛选资源或跟踪 Amazon 成本。

  3. 在 “连接器类型” 下,选择 Microsoft Intune

    1. 对于应用程序(客户端)ID,请输入您的 Microsoft Entra ID 应用程序注册中的应用程序(客户端)ID。有关使用带连接器的 Microsoft Intune for SCEP 的信息,请参阅。在 MDM 系统中使用适用于 SCEP 的连接器

    2. 对于目录(租户)ID 或主域,请输入您的 Microsoft Entra ID 应用程序注册中的目录(租户)ID 或主域。

  4. 在 “私有 CA” 下,选择要用于此连接器的私有 CA。或者,通过选择 “创建私有 CA” 来创建一个新的 CA。由于 SCEP 协议中存在固有的漏洞,我们建议使用专用于此连接器的私有 CA。如果您创建了新 CA,则在中 Amazon Private CA完成创建后,请返回 Connector for SCEP 控制台并刷新私有 CA 列表。您的新私有 CA 应该可供选择。

  5. 选择 “创建连接器”。

步骤 2:将连接器详细信息复制到 MDM 系统中

创建连接器后,您需要将连接器中的以下详细信息复制到您的 MDM 系统中。要使用控制台查看连接器的详细信息,请从 SCEP 连接器控制台页面的列表中选择该连接器

  • 公共 SCEP 网址-这是连接器的端点,您的 SCEP 客户端将从中请求证书。注意仅将此端点提供给可信实体。

  • (通用)质询密码-在 “挑战密码” 下,选择您在上述过程中自动生成的密码,然后选择 “查看密码” 以查看密码。要创建其他密码,请选择创建密码。请注意谨慎分发密码,并且仅向高度信任的个人和客户分发密码。单个质询密码可用于颁发任何证书,包括任何主题和 SAN,因此应谨慎处理。

  • (Microsoft Intune)Ope n ID 值——如果你要与微软 Intune 集成,则必须将开放身份证颁发者、开放身份主题和开放身份受众复制到微软 Entra 应用程序注册的 OpenID Connect (OIDC) 凭证中。有关更多信息,请参阅 在 MDM 系统中使用适用于 SCEP 的连接器