使用 Connector for SCEP 微软 Intune

在 Microsoft Intune 中配置 Amazon Private CA 为外部 CA

1. 在 Microsoft Entra ID 控制台中，导航到应用程序注册。

2. 选择您创建的用于连接器 for SCEP 的应用程序。您单击的应用程序的应用程序（客户端）ID 必须与您在创建连接器时指定的 ID 相匹配。

3. 从 “托管” 下拉菜单中选择 “证书和密钥”。

4. 选择 “联合证书” 选项卡。

5. 选择 “添加凭据”。

6. 从联邦证书方案下拉菜单中，选择其他颁发者。

7. 将你的 Connector for SCEP for Microsoft Intune 详细信息中的 OpenID 发行者值复制并粘贴到发行者字段中。要查看连接器的详细信息，请从 Amazon 控制台的 SCEP 连接器列表中选择该连接器。或者，您可以通过调用获取 URL，GetConnector然后从响应中复制该Issuer值。

8. 将 OpenID 受众值从 Connector for Microsoft Intune 的 SCEP 详细信息复制并粘贴到 “受众” 字段中。要查看连接器的详细信息，请从 Amazon 控制台的 SCEP 连接器列表中选择该连接器。或者，您可以通过调用获取 URL，GetConnector然后从响应中复制该Subject值。

9. （可选）在名称字段中输入实例的名称。例如，你可以给它起个名字Amazon Private CA。

10. （可选）在 “描述” 字段中输入描述。

11. 在 “受众” 字段下选择 “编辑”（可选）。将 OpenID 主题值从您的连接器复制并粘贴到主题字段中。您可以在控制台的连接器详细信息页面中查看 OpenID 颁发者 Amazon 值。或者，您可以通过调用获取 URL，GetConnector然后从响应中复制该Audience值。

12. 选择添加。

1. 创建可信证书配置文件。你必须将与 Connector for SCEP 一起使用的链的根 CA 证书上传到 Microsoft Intune 才能建立信任。有关如何创建可信证书配置文件的信息，请参阅 Microsoft Intune 文档中的 Microsoft Intune 的可信根证书配置文件。

2. 创建 SCEP 证书配置文件，当您的设备需要新证书时，该配置文件可将设备指向连接器。配置文件的配置文件类型应为 SCEP 证书。对于配置文件的根证书，请确保使用在上一步中创建的可信证书。

   对于 SCEP 服务器 URL，请将连接器详细信息中的公共 SCEP 网址复制并粘贴到 SCEP 服务器网址字段中。要查看连接器的详细信息，请从 SCEP 连接器列表中选择该连接器。或者，您可以通过调用获取 URL GetConnector，然后从响应中复制该Endpoint值。有关在 Microsoft Intune 中创建配置文件的指南，请参阅微软 Intune 文档中的在 Microsoft Intune 中创建和分配 SCEP 证书配置文件。

   注意

   对于非 Mac OS 和 iOS 设备，如果您未在配置文件中设置有效期，则适用于 SCEP 的 Connector 会颁发有效期为一年的证书。如果您未在配置文件中设置扩展密钥用法 (EKU) 值，则 SCEP 的 Connector 将颁发一个 EKU 设置为的证书。Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)对于 macOS ExtendedKeyUsage 或 iOS 设备，Microsoft Intune 不尊重你的Validity配置文件中的任何参数。对于这些设备，Connector for SCEP 通过客户端身份验证向这些设备颁发有效期为一年的证书。