設定 SCEP 連接器 - AWS Private Certificate Authority
步驟 1:建立 AWS Identity and Access Management 政策步驟 2:建立私有 CA步驟 3:建立資源共用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 SCEP 連接器

本節中的程序可協助您開始使用 Connector for SCEP。它假設您已經建立 AWS 帳戶。完成此頁面上的步驟後,您可以繼續為 SCEP 建立連接器。

步驟 1:建立 AWS Identity and Access Management 政策

若要建立 SCEP 的連接器,您需要建立 IAM 政策,授予 Connector for SCEP 建立和管理連接器所需資源的能力,並代表您發出憑證。如需 IAM 的詳細資訊,請參閱 IAM 使用者指南中的什麼是 Word?IAM

下列範例是客戶受管政策,可用於 Connector for SCEP。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "pca-connector-scep:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm-pca:DescribeCertificateAuthority",
                "acm-pca:GetCertificate",
                "acm-pca:GetCertificateAuthorityCertificate",
                "acm-pca:ListCertificateAuthorities",
                "acm-pca:ListTags",
                "acm-pca:PutPolicy"                
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "acm-pca:IssueCertificate",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*"
                },
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "pca-connector-scep.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:CreateResourceShare",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareAssociations",
                "ram:GetResourceShares",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:ListResourceSharePermissions",
                "ram:ListResourceTypes"
            ],
            "Resource": "*"
        }
    ]
}

步驟 2:建立私有 CA

若要使用 Connector for SCEP,您需要將私有 CA 從 AWS Private Certificate Authority 與連接器建立關聯。由於 SCEP 通訊協定中存在固有的安全漏洞,我們建議您使用僅供連接器使用的私有 CA。

私有 CA 必須符合下列要求:

  • 其必須處於作用中狀態,並使用一般用途操作模式。

  • 您必須擁有私有 CA。您不能使用透過跨帳戶共用與您共用的私有 CA。

將私有 CA 設定為與 Connector for SCEP 搭配使用時,請注意下列考量事項:

  • DNS 名稱限制 – 考慮使用 DNS 名稱限制作為一種方法來控制針對 SCEP 裝置發行的憑證中允許或禁止哪些網域。如需詳細資訊,請參閱如何在 中強制執行 DNS 名稱限制 AWS Private Certificate Authority

  • 撤銷 – 在私有 CA 上啟用 OCSP 或 CRLs 以允許撤銷。如需詳細資訊,請參閱規劃您的 AWS Private CA 憑證撤銷方法

  • PII – 建議您不要在 CA 憑證中新增個人識別資訊 (PII) 或其他機密或敏感資訊。如果發生安全漏洞,這有助於限制敏感資訊的暴露。

  • 將根憑證儲存在信任存放區 – 將根 CA 憑證儲存在您的裝置信任存放區中,以便您可以驗證憑證和 GetCertificateAuthorityCertificate 的傳回值。如需有關信任存放區與之相關的資訊 AWS Private CA,請參閱 根 CA

如需有關如何建立私有 CA 的資訊,請參閱 在 中建立私有 CA AWS Private CA

步驟 3:使用 建立資源共用 AWS Resource Access Manager

如果您使用 Connector for SCEP 以程式設計方式使用 AWS Command Line Interface、 AWS SDK 或 Connector for SCEPAPI,則需要使用 AWS Resource Access Manager 服務主體共用,將私有 CA 與 Connector for SCEP 共用。這可讓 Connector for SCEP 共用存取您的私有 CA。當您在 AWS 主控台中建立連接器時,我們會自動為您建立資源共用。如需資源共用的相關資訊,請參閱 AWS RAM 使用者指南中的建立資源共用

若要使用 建立資源共用 AWS CLI,您可以使用 AWS RAM create-resource-share命令。下列命令會建立資源共用。指定您要共用的私有 CA 的 ARN 作為 的值 resource-arns.

$  aws ram create-resource-share \
--region us-east-1 \
--name MyPcaConnectorScepResourceShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \
--resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID \
--principals pca-connector-scep.amazonaws.com \
--sources account

呼叫的服務主體在私有 CA 上CreateConnector具有憑證發行許可。若要防止使用 Connector for SCEP 的服務主體對 AWS 私有 CA 資源擁有一般存取權,請使用 限制其許可CalledVia