为 SCEP 设置连接器 - Amazon Private Certificate Authority
步骤 1:创建 Amazon Identity and Access Management 策略步骤 2:创建私有 CA步骤 3:创建资源共享
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 SCEP 设置连接器

SCEP 连接器处于预览版 Amazon Private CA ,可能会发生变化。

本节中的步骤可帮助您开始使用适用于 SCEP 的连接器。它假设你已经创建了一个 Amazon 账户。完成本页上的步骤后,您可以继续为 SCEP 创建连接器。

步骤 1:创建 Amazon Identity and Access Management 策略

要为 SCEP 创建连接器,您需要创建一个 IAM 策略,授予 Connector for SCEP 创建和管理连接器所需的资源以及代表您颁发证书的能力。有关 IAM 的更多信息,请参阅什么是 IAM?IAM 用户指南中。

以下示例是一个客户托管策略,您可以将其用于 Connector for SCEP。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "pca-connector-scep:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm-pca:DescribeCertificateAuthority",
                "acm-pca:GetCertificate",
                "acm-pca:GetCertificateAuthorityCertificate",
                "acm-pca:ListCertificateAuthorities",
                "acm-pca:ListTags",
                "acm-pca:PutPolicy"                
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "acm-pca:IssueCertificate",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*"
                },
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "pca-connector-scep.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:CreateResourceShare",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareAssociations",
                "ram:GetResourceShares",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:ListResourceSharePermissions",
                "ram:ListResourceTypes"
            ],
            "Resource": "*"
        }
    ]
}

步骤 2:创建私有 CA

要将连接器用于 SCEP,您需要将私有 CA 与该连接器关联起来。 Amazon Private Certificate Authority 由于 SCEP 协议中存在固有的安全漏洞,我们建议您使用仅用于连接器的私有 CA。

私有 CA 必须满足以下要求:

  • 它必须处于活动状态并使用通用操作模式。

  • 您必须拥有私有 CA。您不能使用通过跨账户共享与您共享的私有 CA。

将私有 CA 配置为与 SCEP 连接器一起使用时,请注意以下注意事项:

  • DNS 名称限制-考虑使用 DNS 名称限制来控制为你的 SCEP 设备颁发的证书中允许或禁止哪些域。有关更多信息,请参阅中的如何强制执行 DNS 名称限制 Amazon Private Certificate Authority

  • 撤销 — 在私有 CA 上启用 OCSP 或 CRL 以允许撤销。有关更多信息,请参阅 设置证书吊销方法

  • PII — 我们建议您不要在 CA 证书中添加个人身份信息 (PII) 或其他机密或敏感信息。如果出现安全漏洞,这有助于限制敏感信息的泄露。

  • 将@@ 根证书存储在信任存储中 — 将根 CA 证书存储在设备信任存储中,以便您可以验证证书和的返回值GetCertificateAuthorityCertificate。有关与之相关的信任存储的信息 Amazon Private CA,请参阅根 CA

有关如何创建私有 CA 的信息,请参阅创建私有 CA

步骤 3:使用创建资源共享 Amazon Resource Access Manager

如果您使用 Amazon Command Line Interface、 Amazon SDK 或适用于 SCEP 的连接器 API 以编程方式使用适用于 SCEP 的连接器,则需要使用 Amazon Resource Access Manager 服务主体共享与适用于 SCEP 的连接器共享您的私有 CA。这为 SCEP 的 Connector 提供了对您的私有 CA 的共享访问权限。当您在 Amazon 控制台中创建连接器时,我们会自动为您创建资源共享。有关资源共享的信息,请参阅《Amazon RAM 用户指南》中的创建资源共享

要使用创建资源共享 Amazon CLI,可以使用 Amazon RAM create-resource-share命令。以下命令创建资源共享。将要共享的私有 CA 的 ARN 指定为资源 arn 的值。

$  aws ram create-resource-share \
--region us-east-1 \
--name MyPcaConnectorScepResourceShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \
--resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID \
--principals pca-connector-scep.amazonaws.com \
--sources account

调用的服务主体CreateConnector拥有私有 CA 的证书颁发权限。要防止使用 Connector for SCEP 的服务主体对您的 Amazon 私有 CA 资源拥有一般访问权限,请使用限制他们的权限。CalledVia