Comprendre Connector pour connaître les SCEP considérations et les limites - AWS Private Certificate Authority
ConsidérationsLimites

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre Connector pour connaître les SCEP considérations et les limites

Tenez compte des considérations et limites suivantes lors de l'utilisation de Connector pourSCEP.

Considérations

Modes de fonctionnement CA

Vous ne pouvez utiliser Connector CAs que pour SCEP les applications privées utilisant un mode de fonctionnement général. Connecteur pour l'émission SCEP par défaut de certificats d'une durée de validité d'un an. Une autorité de certification privée utilisant un mode de certificat de courte durée ne prend pas en charge l'émission de certificats dont la durée de validité est supérieure à sept jours. Pour plus d'informations sur les modes de fonctionnement, consultezComprendre les modes AWS Private CA CA.

Mots de passe contestés

  • Diffusez vos mots de passe difficiles avec le plus grand soin et ne les partagez qu'avec des personnes et des clients dignes de confiance. Un mot de passe de défi unique peut être utilisé pour émettre n'importe quel certificat, quel que soit SANs son sujet et présentant un risque de sécurité.

  • Si vous utilisez un connecteur à usage général, nous vous recommandons de changer fréquemment vos mots de passe de défi manuellement.

Conformité à 8894 RFC

Connector for SCEP s'écarte du protocole RFC8894 en fournissant des points de terminaison au lieu de HTTPS points de terminaison. HTTP

CSRs

  • Si une demande de signature de certificat (CSR) envoyée à Connector for SCEP n'inclut pas l'extension Extended Key Usage (EKU), nous définirons la EKU valeur surclientAuthentication. Pour plus d'informations, voir 4.2.1.12. Utilisation étendue des clés dans RFC 5280.

  • Nous prenons en charge ValidityPeriod et ValidityPeriodUnits personnalisons les attributs dansCSRs. Si vous CSR n'en incluez pasValidityPeriod, nous émettons un certificat dont la durée de validité est d'un an. N'oubliez pas que vous ne pourrez peut-être pas définir ces attributs dans votre MDM système. Mais si vous pouvez les configurer, nous les soutenons. Pour plus d'informations sur ces attributs, voir sz ENROLLMENT _ _ NAME VALUE _ PAIR.

Partage de terminaux

Distribuez les points de terminaison d'un connecteur uniquement aux parties de confiance. Traitez les points de terminaison comme secrets, car toute personne capable de trouver votre nom de domaine complet et votre chemin uniques peut récupérer votre certificat CA.

Limites

Les restrictions suivantes s'appliquent à Connector forSCEP.

Mots de passe de défi dynamiques

Vous ne pouvez créer des mots de passe de défi statiques qu'avec des connecteurs à usage général. Pour utiliser des mots de passe dynamiques avec un connecteur à usage général, vous devez créer votre propre mécanisme de rotation qui utilise les mots de passe statiques du connecteur. Les types de connecteurs Connector SCEP for for Microsoft Intune prennent en charge les mots de passe dynamiques, que vous gérez à l'aide de Microsoft Intune.

HTTP

Connecteur pour les SCEP supports HTTPS uniquement, et crée des redirections pour les HTTP appels. Si votre système en dépendHTTP, assurez-vous qu'il peut prendre en charge les HTTP redirections fournies par Connector forSCEP.

Privé partagé CAs

Vous ne pouvez utiliser Connector que pour SCEP un CAs compte privé dont vous êtes le propriétaire.