Erfahren Sie mehr über die SCEP Überlegungen und Einschränkungen von Connector - AWS Private Certificate Authority
ÜberlegungenEinschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erfahren Sie mehr über die SCEP Überlegungen und Einschränkungen von Connector

Beachten Sie bei der Verwendung von Connector for die folgenden Überlegungen und EinschränkungenSCEP.

Überlegungen

CA-Betriebsmodi

Sie können Connector for nur SCEP mit privaten Geräten verwendenCAs, die einen allgemeinen Betriebsmodus verwenden. Connector for stellt SCEP standardmäßig Zertifikate mit einer Gültigkeitsdauer von einem Jahr aus. Eine private Zertifizierungsstelle, die einen kurzlebigen Zertifikatsmodus verwendet, unterstützt die Ausstellung von Zertifikaten mit einer Gültigkeitsdauer von mehr als sieben Tagen nicht. Informationen zu den Betriebsmodi finden Sie unterVerstehen Sie die AWS Private CA CA-Modi.

Passwörter herausfordern

  • Verteilen Sie Ihre Challenge-Passwörter sehr sorgfältig und geben Sie sie nur an vertrauenswürdige Personen und Kunden weiter. Ein einziges Challenge-Passwort kann verwendet werden, um jedes Zertifikat mit beliebigem Betreff auszustellenSANs, was ein Sicherheitsrisiko darstellt.

  • Wenn Sie einen Allzweck-Connector verwenden, empfehlen wir Ihnen, Ihre Challenge-Passwörter häufig manuell zu wechseln.

Konformität mit 8894 RFC

Der Connector für SCEP weicht vom RFC8894-Protokoll ab, indem er Endpunkte anstelle von HTTPS Endpunkten bereitstellt. HTTP

CSRs

  • Wenn eine Zertifikatsignieranforderung (CSR), die an Connector für gesendet wird, die Erweiterung Extended Key Usage (EKU) SCEP nicht enthält, setzen wir den Wert auf. EKU clientAuthentication Weitere Informationen finden Sie unter 4.2.1.12. Erweiterte Verwendung von Schlüsseln in 5280. RFC

  • Wir unterstützen ValidityPeriod und passen ValidityPeriodUnits Attribute in anCSRs. Wenn Sie CSR kein Zertifikat enthaltenValidityPeriod, stellen wir ein Zertifikat mit einer Gültigkeitsdauer von einem Jahr aus. Beachten Sie, dass Sie diese Attribute möglicherweise nicht in Ihrem MDM System festlegen können. Aber wenn Sie sie festlegen können, unterstützen wir sie. Informationen zu diesen Attributen finden Sie unter sz ENROLLMENT _ NAME _ VALUE _ PAIR.

Gemeinsame Nutzung von Endpunkten

Verteilen Sie die Endpunkte eines Connectors nur an vertrauenswürdige Parteien. Behandeln Sie die Endpunkte als geheim, da jeder, der Ihren eindeutigen, vollständig qualifizierten Domainnamen und Pfad finden kann, Ihr CA-Zertifikat abrufen kann.

Einschränkungen

Die folgenden Einschränkungen gelten für Connector for. SCEP

Dynamische Herausforderungspasswörter

Sie können statische Challenge-Passwörter nur mit Allzweck-Konnektoren erstellen. Um dynamische Passwörter mit einem Allzweck-Connector zu verwenden, müssen Sie Ihren eigenen Rotationsmechanismus erstellen, der die statischen Passwörter des Connectors verwendet. Connector SCEP für Microsoft Intune Connectortypen bieten Unterstützung für dynamische Passwörter, die Sie mit Microsoft Intune verwalten.

HTTP

Connector für SCEP unterstützt HTTPS nur Anrufe und erstellt Weiterleitungen für HTTP Anrufe. Wenn Ihr System darauf angewiesen istHTTP, stellen Sie sicher, dass es die von Connector HTTP bereitgestellten Weiterleitungen unterstütztSCEP.

Geteilt, privat CAs

Sie können Connector nur für SCEP private Zwecke CAs verwenden, deren Eigentümer Sie sind.