本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解 Connector for SCEP 的考量和限制
使用 Connector for SCEP 時,請記住下列考量和限制。
考量事項
CA 操作模式
您只能將 Connector for SCEP 與使用一般用途操作模式的私有 CAs 搭配使用。SCEP 的連接器預設為發出有效期為一年的憑證。使用短期憑證模式的私有 CA 不支援發行有效期超過七天的憑證。如需操作模式的相關資訊,請參閱 了解 AWS Private CA CA 模式。
挑戰密碼
非常謹慎地分發您的挑戰密碼,並僅與高度信任的個人和用戶端共用。單一挑戰密碼可用於向任何主題和 SANs 發出任何憑證,這會造成安全風險。
如果使用一般用途連接器,建議您經常手動輪換挑戰密碼。
符合 RFC 8894
透過提供 SCEP RFC 端點而非 Word 端點,Word 的連接器偏離 Word 8894
CSRs
如果傳送至 Connector for SCEP 的憑證簽署請求 (CSR) 不包含延伸金鑰使用 (EKU) 延伸模組,我們會將 EKU 值設定為
clientAuthentication。如需詳細資訊,請參閱 4.2.1.12。RFC 5280 中的擴充金鑰用量。 我們在 CSRs 中支援
ValidityPeriod和ValidityPeriodUnits自訂屬性。如果您的 CSR 不包含ValidityPeriod,我們會發出具有一年有效期的憑證。請記住,您可能無法在 MDM 系統中設定這些屬性。但是,如果您可以設定它們,我們會支援它們。如需有關這些屬性的資訊,請參閱 szENROLLMENT_NAME_VALUE_PAIR。
端點共用
僅將連接器的端點分發給受信任方。將端點視為秘密,因為任何可以找到您唯一完整網域名稱和路徑的人都可以擷取您的 CA 憑證。
限制
下列限制適用於 Connector for SCEP。
動態挑戰密碼
您只能使用一般用途連接器建立靜態挑戰密碼。若要搭配一般用途連接器使用動態密碼,您必須建置自己的輪換機制,以使用連接器的靜態密碼。Connector for SCEP for Microsoft Intune 連接器類型支援您使用 Microsoft Intune 管理的動態密碼。
HTTP
Connector for SCEP 僅支援 HTTPS,並建立 HTTP 呼叫的重新導向。如果您的系統依賴 HTTP,請確定它可以容納 Connector for HTTP 提供的 SCEP 重新導向。
共用私有 CAs
您只能將 Connector for SCEP 與作為擁有者的私有 CAs 搭配使用。
