Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Le procedure in questa sezione consentono di iniziare a utilizzare Connector for SCEP. Si presuppone che tu abbia già creato un AWS account. Dopo aver completato i passaggi in questa pagina, puoi procedere con la creazione di un connettore per SCEP.
Argomenti
Fase 1: Creare una politica AWS Identity and Access Management
Per creare un connettore per SCEP, devi creare una policy IAM che conceda a Connector for SCEP la capacità di creare e gestire le risorse necessarie al connettore e di emettere certificati per tuo conto. Per ulteriori informazioni su IAM, consulta What is IAM? nella Guida per l'utente di IAM.
L'esempio seguente è una policy gestita dai clienti che puoi usare per Connector for SCEP.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "pca-connector-scep:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:PutPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "acm-pca:IssueCertificate",
"Resource": "*",
"Condition": {
"StringLike": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*"
},
"ForAnyValue:StringEquals": {
"aws:CalledVia": "pca-connector-scep.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ram:CreateResourceShare",
"ram:GetResourcePolicies",
"ram:GetResourceShareAssociations",
"ram:GetResourceShares",
"ram:ListPrincipals",
"ram:ListResources",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes"
],
"Resource": "*"
}
]
}
Fase 2: Creare una CA privata
Per utilizzare Connector for SCEP è necessario associare una CA privata da AWS Private Certificate Authority al connettore. Ti consigliamo di utilizzare una CA privata che riguardi solo il connettore, a causa delle vulnerabilità di sicurezza intrinseche presenti nel protocollo SCEP.
La CA privata deve soddisfare i seguenti requisiti:
Deve essere in uno stato attivo e utilizzare la modalità operativa generica.
È necessario possedere la CA privata. Non puoi utilizzare una CA privata che è stata condivisa con te tramite la condivisione tra account.
Tieni presente le seguenti considerazioni quando configuri la tua CA privata da utilizzare con Connector for SCEP:
Vincoli relativi ai nomi DNS: valuta la possibilità di utilizzare i vincoli dei nomi DNS per controllare quali domini sono consentiti o vietati nei certificati emessi per i tuoi dispositivi SCEP. Per ulteriori informazioni, consulta Come applicare i vincoli dei nomi DNS in. AWS Private Certificate Authority
Revoca: abilita OCSP o CRLs sulla tua CA privata per consentire la revoca. Per ulteriori informazioni, consulta AWS Private CA Pianifica il tuo metodo di revoca dei certificati.
PII: ti consigliamo di non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei certificati CA. In caso di exploit di sicurezza, ciò aiuta a limitare l'esposizione di informazioni sensibili.
Archivia i certificati root negli archivi attendibili: archivia i certificati CA root negli archivi attendibili del dispositivo, in modo da poter verificare i certificati e i valori restituiti da. GetCertificateAuthorityCertificate Per informazioni sui trust store in relazione ai trust store AWS Private CA, consultaCA root .
Per informazioni su come creare una CA privata, vedereCrea una CA privata in AWS Private CA.
Passaggio 3: Creare una condivisione di risorse utilizzando AWS Resource Access Manager
Se utilizzi Connector for SCEP a livello di codice utilizzando l' AWS Command Line Interface API AWS SDK o Connector for SCEP, devi condividere la tua CA privata con Connector for SCEP utilizzando la condivisione principale del servizio. AWS Resource Access Manager In questo modo Connector for SCEP ha accesso condiviso alla tua CA privata. Quando crei un connettore nella AWS console, creiamo automaticamente la condivisione delle risorse per te. Per informazioni sulla condivisione delle risorse, consulta Creare una condivisione di risorse nella Guida AWS RAM per l'utente.
Per creare una condivisione di risorse utilizzando AWS CLI, è possibile utilizzare il AWS RAM create-resource-share comando. Il comando seguente crea una condivisione di risorse. Specificate l'ARN della CA privata di cui desiderate condividere il valore. resource-arns
$
aws ram create-resource-share \ --region
us-east-1
\ --nameMyPcaConnectorScepResourceShare
\ --permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \ --resource-arns arn:aws:acm-pca:Region
:account
:certificate-authority/CA_ID
\ --principals pca-connector-scep.amazonaws.com \ --sourcesaccount
Il responsabile del servizio che chiama CreateConnector
dispone delle autorizzazioni per l'emissione di certificati sulla CA privata. Per impedire ai responsabili del servizio che utilizzano Connector for SCEP di avere accesso generale alle tue CA privata AWS risorse, limita le loro autorizzazioni di utilizzo. CalledVia