Considérations et limites du Connector for SCEP - AWS Private Certificate Authority
ConsidérationsLimites

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations et limites du Connector for SCEP

Tenez compte des considérations et limites suivantes lors de l'utilisation de Connector for SCEP.

Considérations

Modes de fonctionnement CA

Vous ne pouvez utiliser Connector for SCEP CAs qu'avec des applications privées utilisant un mode de fonctionnement général. Connector for SCEP émet par défaut des certificats d'une durée de validité d'un an. Une autorité de certification privée utilisant un mode de certificat de courte durée ne prend pas en charge l'émission de certificats dont la durée de validité est supérieure à sept jours. Pour plus d'informations sur les modes de fonctionnement, consultezComprendre les modes AWS Private CA CA.

Mots de passe contestés

  • Diffusez vos mots de passe difficiles avec le plus grand soin et ne les partagez qu'avec des personnes et des clients dignes de confiance. Un mot de passe de défi unique peut être utilisé pour émettre n'importe quel certificat, quel que soit SANs son sujet et présentant un risque de sécurité.

  • Si vous utilisez un connecteur à usage général, nous vous recommandons de changer fréquemment vos mots de passe de défi manuellement.

Conformité à la RFC 8894

Le connecteur pour SCEP s'écarte du protocole RFC 8894 en fournissant des points de terminaison HTTPS au lieu de points de terminaison HTTP.

CSRs

  • Si une demande de signature de certificat (CSR) envoyée à Connector for SCEP n'inclut pas l'extension Extended Key Usage (EKU), nous définirons la valeur EKU sur. clientAuthentication Pour plus d'informations, voir 4.2.1.12. Utilisation étendue des clés dans la RFC 5280.

  • Nous prenons en charge ValidityPeriod et ValidityPeriodUnits personnalisons les attributs dans CSRs. Si votre CSR n'inclut pas deValidityPeriod, nous délivrons un certificat dont la durée de validité est d'un an. N'oubliez pas que vous ne pourrez peut-être pas définir ces attributs dans votre système MDM. Mais si vous pouvez les configurer, nous les soutenons. Pour plus d'informations sur ces attributs, consultez SzEnrollment_Name_Value_Pair.

Partage de terminaux

Distribuez les points de terminaison d'un connecteur uniquement à des parties de confiance. Traitez les points de terminaison comme secrets, car toute personne capable de trouver votre nom de domaine complet et votre chemin uniques peut récupérer votre certificat CA.

Limites

Les limitations suivantes s'appliquent au Connector for SCEP.

Mots de passe de défi dynamiques

Vous ne pouvez créer des mots de passe de défi statiques qu'avec des connecteurs à usage général. Pour utiliser des mots de passe dynamiques avec un connecteur à usage général, vous devez créer votre propre mécanisme de rotation qui utilise les mots de passe statiques du connecteur. Connector for SCEP for Microsoft Intune Les types de connecteurs prennent en charge les mots de passe dynamiques, que vous gérez à l'aide de Microsoft Intune.

HTTP

Connector for SCEP prend uniquement en charge le protocole HTTPS et crée des redirections pour les appels HTTP. Si votre système repose sur le protocole HTTP, assurez-vous qu'il est compatible avec les redirections HTTP fournies par Connector for SCEP.

Privé partagé CAs

Vous ne pouvez utiliser Connector for SCEP qu'avec un CAs compte privé dont vous êtes le propriétaire.