本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定適用於 Connector for MDM 的 SCEP 系統
Simple Certificate Enrollment Protocol (SCEP) 是用於憑證註冊和續約的標準通訊協定。Connector for SCEP 是以 RFC 8894
Connector for SCEP 提供兩種類型的連接器:一般用途和 Connector for SCEP for Microsoft Intune。下列各節說明它們的運作方式,以及如何設定 MDM 系統來使用它們。
一般用途連接器
一般用途連接器設計用於使用支援 SCEP 的行動裝置端點,但具有專用連接器的 Microsoft Intune 除外。使用一般用途連接器,您可以管理 SCEP 挑戰密碼。下圖使用行動裝置管理 (MDM) 系統作為範例,但相同的功能適用於具 SCEP 功能的匿名系統或裝置。
MDM 系統 (或類似裝置或系統) 會將 SCEP 設定檔傳送至行動用戶端。SCEP 設定檔包含定義憑證設定檔的組態參數,例如憑證有效期、挑戰密碼,以及與憑證發行相關的其他資訊。
行動用戶端會請求憑證,也會傳送包含挑戰密碼的憑證簽署請求 (CSR)。
Connector for SCEP 會驗證挑戰密碼。如果有效,則服務會 AWS Private CA 代表行動用戶端向 請求憑證。
AWS Private CA 會發出憑證並將其傳送至 Connector for SCEP。
Connector for SCEP 會將發行的憑證傳送至行動用戶端。
AWS Private CA SCEP for Microsoft Intune 的連接器
AWS Private CA Connector for SCEP for Microsoft Intune 專為搭配 Microsoft Intune 使用而設計。透過 Connector for SCEP for Microsoft Intune 連接器類型,您將使用 Microsoft Intune 來管理 SCEP 挑戰密碼。如需將 Connector for SCEP 與 Microsoft Intune 搭配使用的詳細資訊,請參閱 設定 Microsoft Intune for Connector for SCEP。
若要將 Connector for SCEP 與 Microsoft Intune 搭配使用,您必須使用 Microsoft Intune API 啟用特定功能,並擁有有效的 Microsoft Intune 授權。您也應該檢閱 Microsoft Intune® 應用程式保護政策
Microsoft Intune 會將 SCEP 設定檔傳送至行動用戶端。設定檔包含加密的挑戰密碼,行動用戶端會放入 CSR 中。
行動用戶端會請求憑證,並將 CSR 傳送至 Connector for SCEP。
Connector for SCEP 會將 CSR 傳送給 Microsoft Intune 進行授權。
Microsoft Intune 會解密 CSR 中的挑戰密碼。如果有效,Microsoft Intune 會將核准傳送至 Connector for SCEP,以將憑證核發至行動用戶端。
SCEP 的連接器 AWS Private CA 代表行動用戶端向 請求憑證。
AWS Private CA 會發出憑證並將其傳送至 Connector for SCEP。
Connector for SCEP 會將發行的憑證傳送至行動用戶端。
