Conozca las consideraciones y limitaciones de Connector for SCEP - AWS Private Certificate Authority
ConsideracionesLimitaciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conozca las consideraciones y limitaciones de Connector for SCEP

Tenga en cuenta las siguientes consideraciones y limitaciones al utilizar Connector for SCEP.

Consideraciones

Modos de funcionamiento de CA

Solo puede utilizar Connector for SCEP con un modo de funcionamiento privado CAs que utilice un modo de funcionamiento de uso general. Por defecto, Connector for SCEP emite certificados con un período de validez de un año. Una entidad emisora de certificados privada que utilice un modo de certificación de corta duración no admite la emisión de certificados con un período de validez superior a siete días. Para obtener información sobre los modos de funcionamiento, consulteAWS Private CA Comprenda los modos de CA.

Impugnar contraseñas

  • Distribuya sus contraseñas confidenciales con mucho cuidado y compártalas solo con personas y clientes de gran confianza. Se puede utilizar una única contraseña de seguridad para emitir cualquier certificado, con cualquier asunto y SANs que suponga un riesgo para la seguridad.

  • Si utiliza un conector de uso general, le recomendamos que cambie manualmente las contraseñas de desafío con frecuencia.

Cumple con el RFC 8894

El conector para SCEP se desvía del protocolo RFC 8894 al proporcionar puntos de enlace HTTPS en lugar de puntos de enlace HTTP.

CSRs

  • Si una solicitud de firma de certificado (CSR) que se envía a Connector for SCEP no incluye la extensión de uso extendido de claves (EKU), estableceremos el valor de EKU en. clientAuthentication Para obtener más información, consulte 4.2.1.12. Uso extendido de claves en el RFC 5280.

  • Admitimos ValidityPeriod y ValidityPeriodUnits personalizamos los atributos en. CSRs Si su CSR no incluye un certificadoValidityPeriod, emitimos un certificado que tiene un período de validez de un año. Tenga en cuenta que es posible que no pueda establecer estos atributos en su sistema MDM. Pero si puede configurarlos, los admitimos. Para obtener información sobre estos atributos, consulte SZEnrollment_NAME_VALUE_PAIR.

Uso compartido de terminales

Distribuya los puntos finales de un conector únicamente a partes de confianza. Trate los puntos finales como secretos, ya que cualquier persona que pueda encontrar su nombre de dominio y su ruta únicos y totalmente cualificados podrá recuperar su certificado de CA.

Limitaciones

Las siguientes limitaciones se aplican a Connector for SCEP.

Contraseñas de desafío dinámico

Solo puede crear contraseñas de desafío estáticas con conectores de uso general. Para utilizar contraseñas dinámicas con un conector de uso general, debe crear su propio mecanismo de rotación que utilice las contraseñas estáticas del conector. Los tipos de conectores Connector for SCEP para Microsoft Intune admiten contraseñas dinámicas, que se administran mediante Microsoft Intune.

HTTP

El conector para SCEP solo admite HTTPS y crea redireccionamientos para las llamadas HTTP. Si su sistema depende de HTTP, asegúrese de que puede admitir los redireccionamientos HTTP que proporciona Connector for SCEP.

Compartido: privado CAs

Solo puede utilizar Connector for SCEP con CAs la red privada de la que sea propietario.