SCEP 고려 사항 및 제한 사항에 대한 커넥터 이해 - AWS Private Certificate Authority
고려 사항제한 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SCEP 고려 사항 및 제한 사항에 대한 커넥터 이해

SCEP용 커넥터 사용 시 다음 고려 사항 및 제한 사항에 유의하세요.

고려 사항

CA 작동 모드

범용 작동 모드를 사용하는 프라이빗 CAs에서만 SCEP용 커넥터를 사용할 수 있습니다. SCEP용 커넥터는 기본적으로 유효 기간이 1년인 인증서를 발급합니다. 수명이 짧은 인증서 모드를 사용하는 프라이빗 CA는 유효 기간이 7일 이상인 인증서 발급을 지원하지 않습니다. 작동 모드에 대한 자세한 내용은 섹션을 참조하세요AWS Private CA CA 모드 이해.

챌린지 암호

  • 챌린지 암호를 매우 신중하게 배포하고 신뢰할 수 있는 개인 및 클라이언트와만 공유합니다. 단일 챌린지 암호를 사용하여 보안 위험이 있는 모든 주체 및 SANs과 함께 모든 인증서를 발급할 수 있습니다.

  • 범용 커넥터를 사용하는 경우 챌린지 암호를 자주 수동으로 교체하는 것이 좋습니다.

RFC 8894 준수

SCEP용 커넥터는 HTTP 엔드포인트 대신 HTTPS 엔드포인트를 제공하여 RFC 8894 프로토콜과 다릅니다.

CSRs

  • SCEP용 커넥터로 전송되는 인증서 서명 요청(CSR)에 확장 키 사용(EKU) 확장이 포함되지 않은 경우 EKU 값을 로 설정합니다clientAuthentication. 자세한 내용은 4.2.1.12을 참조하세요. RFC 5280의 확장 키 사용.

  • CSRs에서 ValidityPeriodValidityPeriodUnits 사용자 지정 속성을 지원합니다. CSR에가 포함되지 않은 경우 유효 기간이 1년인 인증서를 발급ValidityPeriod합니다. MDM 시스템에서 이러한 속성을 설정하지 못할 수 있습니다. 하지만 설정할 수 있는 경우 이를 지원합니다. 이러한 속성에 대한 자세한 내용은 szENROLLMENT_NAME_VALUE_PAIR를 참조하세요.

엔드포인트 공유

커넥터의 엔드포인트를 신뢰할 수 있는 당사자에게만 배포합니다. 고유한 정규화된 도메인 이름과 경로를 찾을 수 있는 사람은 누구나 CA 인증서를 검색할 수 있으므로 엔드포인트를 보안 암호로 취급합니다.

제한 사항

SCEP용 커넥터에는 다음 제한 사항이 적용됩니다.

동적 챌린지 암호

범용 커넥터를 통해서만 정적 챌린지 암호를 생성할 수 있습니다. 범용 커넥터에서 동적 암호를 사용하려면 커넥터의 정적 암호를 사용하는 고유한 교체 메커니즘을 구축해야 합니다. SCEP for Microsoft Intune 커넥터 유형은 Microsoft Intune을 사용하여 관리하는 동적 암호에 대한 지원을 제공합니다.

HTTP

SCEP용 커넥터는 HTTPS만 지원하고 HTTP 호출에 대한 리디렉션을 생성합니다. 시스템이 HTTP에 의존하는 경우 SCEP용 커넥터가 제공하는 HTTP 리디렉션을 수용할 수 있는지 확인합니다.

공유 프라이빗 CAs

소유자인 프라이빗 CAs에서만 SCEP용 커넥터를 사용할 수 있습니다.