Memahami Konektor untuk pertimbangan dan batasan SCEP - AWS Private Certificate Authority
PertimbanganBatasan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami Konektor untuk pertimbangan dan batasan SCEP

Ingatlah pertimbangan dan batasan berikut saat menggunakan Konektor untuk SCEP.

Pertimbangan

Mode operasi CA

Anda hanya dapat menggunakan Konektor untuk SCEP dengan pribadi CAs yang menggunakan mode operasi tujuan umum. Konektor untuk SCEP default untuk menerbitkan sertifikat dengan masa berlaku satu tahun. CA pribadi yang menggunakan mode sertifikat berumur pendek tidak mendukung penerbitan sertifikat dengan masa berlaku lebih dari tujuh hari. Untuk informasi tentang mode operasi, lihatMemahami mode AWS Private CA CA.

Tantang kata sandi

  • Bagikan kata sandi tantangan Anda dengan sangat hati-hati dan bagikan hanya dengan individu dan klien yang sangat tepercaya. Kata sandi tantangan tunggal dapat digunakan untuk mengeluarkan sertifikat apa pun, dengan subjek apa pun dan SANs, yang menimbulkan risiko keamanan.

  • Jika menggunakan konektor tujuan umum, kami sarankan Anda sering memutar kata sandi tantangan secara manual.

Kesesuaian dengan RFC 8894

Konektor untuk SCEP menyimpang dari protokol RFC 8894 dengan menyediakan titik akhir HTTPS alih-alih titik akhir HTTP.

CSRs

  • Jika permintaan penandatanganan sertifikat (CSR) yang dikirim ke Connector for SCEP tidak menyertakan ekstensi Extended Key Usage (EKU), kami akan menetapkan nilai EKU ke. clientAuthentication Untuk informasi, lihat 4.2.1.12. Penggunaan Kunci yang Diperpanjang di RFC 5280.

  • Kami mendukung ValidityPeriod dan atribut ValidityPeriodUnits khusus di CSRs. Jika CSR Anda tidak menyertakan aValidityPeriod, kami menerbitkan sertifikat yang memiliki masa berlaku satu tahun. Perlu diingat bahwa Anda mungkin tidak dapat mengatur atribut ini dalam sistem MDM Anda. Tetapi jika Anda dapat mengaturnya, kami mendukung mereka. Untuk informasi tentang atribut ini, lihat SzenRollment_NAME_VALUE_PAIR.

Berbagi titik akhir

Mendistribusikan titik akhir konektor hanya kepada pihak tepercaya. Perlakukan titik akhir sebagai rahasia karena siapa pun yang dapat menemukan nama domain dan jalur unik Anda yang memenuhi syarat dapat mengambil sertifikat CA Anda.

Batasan

Batasan berikut berlaku untuk Konektor untuk SCEP.

Kata sandi tantangan dinamis

Anda hanya dapat membuat kata sandi tantangan statis dengan konektor tujuan umum. Untuk menggunakan kata sandi dinamis dengan konektor tujuan umum, Anda harus membangun mekanisme rotasi Anda sendiri yang menggunakan kata sandi statis konektor. Konektor untuk SCEP untuk jenis konektor Microsoft Intune menawarkan dukungan untuk kata sandi dinamis, yang Anda kelola menggunakan Microsoft Intune.

HTTP

Konektor untuk SCEP hanya mendukung HTTPS, dan membuat pengalihan untuk panggilan HTTP. Jika sistem Anda bergantung pada HTTP, pastikan bahwa itu dapat mengakomodasi pengalihan HTTP yang disediakan oleh Connector for SCEP.

Pribadi bersama CAs

Anda hanya dapat menggunakan Konektor untuk SCEP dengan pribadi CAs di mana Anda adalah pemiliknya.