Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configure el conector para el SCEP
Los procedimientos de esta sección le ayudarán a empezar a utilizar Connector for SCEP. Se supone que ya ha creado una AWS cuenta. Tras completar los pasos de esta página, puede continuar con la creación de un conector para el SCEP.
Temas
Paso 1: Crear una política AWS Identity and Access Management
Para crear un conector para el SCEP, debe crear una política de IAM que permita a Connector for SCEP crear y gestionar los recursos que necesita el conector y emitir certificados en su nombre. Para obtener más información sobre IAM, consulte ¿Qué es IAM? en la Guía del usuario de IAM.
El siguiente ejemplo es una política gestionada por el cliente que puede utilizar para Connector for SCEP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "pca-connector-scep:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListCertificateAuthorities", "acm-pca:ListTags", "acm-pca:PutPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "acm-pca:IssueCertificate", "Resource": "*", "Condition": { "StringLike": { "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "pca-connector-scep.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:GetResourcePolicies", "ram:GetResourceShareAssociations", "ram:GetResourceShares", "ram:ListPrincipals", "ram:ListResources", "ram:ListResourceSharePermissions", "ram:ListResourceTypes" ], "Resource": "*" } ] }
Paso 2: Crear una CA privada
Para utilizar Connector for SCEP, debe asociar una CA privada desde AWS Private Certificate Authority al conector. Le recomendamos que utilice una CA privada que sea únicamente para el conector, debido a las vulnerabilidades de seguridad inherentes que están presentes en el protocolo SCEP.
La CA privada debe cumplir los siguientes requisitos:
Debe estar en un estado activo y utilizar el modo de funcionamiento de uso general.
Debe ser propietario de la CA privada. No puedes usar una CA privada que se haya compartido contigo a través del uso compartido entre cuentas.
Tenga en cuenta las siguientes consideraciones al configurar su CA privada para utilizarla con Connector for SCEP:
Restricciones de nombres de DNS: considere la posibilidad de utilizar restricciones de nombres de DNS como una forma de controlar qué dominios están permitidos o prohibidos en los certificados emitidos para sus dispositivos SCEP. Para obtener más información, consulte Cómo aplicar restricciones de nombres DNS
en. AWS Private Certificate Authority Revocación: habilite el OCSP o CRLs en su CA privada para permitir la revocación. Para obtener más información, consulte Planifique el método de revocación AWS Private CA de su certificado.
PII: le recomendamos que no añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en sus certificados de CA. En caso de que se produzca un fallo de seguridad, esto ayuda a limitar la exposición de la información confidencial.
Guarde los certificados raíz en almacenes de confianza: almacene los certificados de CA raíz en los almacenes de confianza de sus dispositivos para poder comprobar los certificados y sus valores devueltos GetCertificateAuthorityCertificate. Para obtener información sobre los almacenes de confianza en lo que respecta a los AWS Private CA mismos, consulteCA raíz .
Para obtener información sobre cómo crear una CA privada, consulteCree una CA privada en AWS Private CA.
Paso 3: Cree un recurso compartido mediante AWS Resource Access Manager
Si utiliza Connector for SCEP mediante programación mediante el AWS SDK o la AWS Command Line Interface API de Connector for SCEP, debe compartir su CA privada con Connector for SCEP mediante el uso compartido del principal de servicio. AWS Resource Access Manager Esto le da a Connector for SCEP acceso compartido a su CA privada. Al crear un conector en la AWS consola, creamos automáticamente el recurso compartido por usted. Para obtener información sobre el uso compartido de recursos, consulte Crear un recurso compartido en la Guía del AWS RAM usuario.
Para crear un recurso compartido mediante el AWS CLI, puede utilizar el AWS RAM create-resource-share comando. El siguiente comando crea un recurso compartido. Especifique el ARN de la CA privada que desea compartir como valor. resource-arns
$aws ram create-resource-share \ --regionus-east-1\ --nameMyPcaConnectorScepResourceShare\ --permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \ --resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID\ --principals pca-connector-scep.amazonaws.com \ --sourcesaccount
El director del servicio que llama CreateConnector tiene permisos de emisión de certificados en la CA privada. Para evitar que los directores de servicio que utilizan Connector for SCEP tengan acceso general a sus Autoridad de certificación privada de AWS recursos, restrinja sus permisos mediante. CalledVia
