기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# SCEP 고려 사항 및 제한 사항에 대한 커넥터 이해
<a name="c4scep-considerations-limitations"></a>

SCEP용 커넥터 사용 시 다음 고려 사항 및 제한 사항에 유의하세요.

## 고려 사항
<a name="c4scep-considerations"></a>

**CA 작동 모드**

범용 작동 모드를 사용하는 프라이빗 CAs에서만 SCEP용 커넥터를 사용할 수 있습니다. SCEP용 커넥터는 기본적으로 유효 기간이 1년인 인증서를 발급합니다. 수명이 짧은 인증서 모드를 사용하는 프라이빗 CA는 유효 기간이 7일을 초과하는 인증서 발급을 지원하지 않습니다. 작동 모드에 대한 자세한 내용은 섹션을 참조하세요[AWS Private CA CA 모드 이해](short-lived-certificates.md).

**챌린지 암호**
+ 챌린지 암호를 매우 신중하게 배포하고 신뢰할 수 있는 개인 및 클라이언트와만 공유합니다. 단일 챌린지 암호를 사용하여 보안 위험이 있는 모든 주체 및 SANs과 함께 모든 인증서를 발급할 수 있습니다.
+ 범용 커넥터를 사용하는 경우 챌린지 암호를 자주 수동으로 교체하는 것이 좋습니다.

**RFC 8894 준수**

SCEP용 커넥터는 HTTP 엔드포인트 대신 HTTPS 엔드포인트를 제공하여 [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) 프로토콜과 다릅니다.

**CSRs**
+ SCEP용 커넥터로 전송되는 인증서 서명 요청(CSR)에 확장 키 사용(EKU) 확장이 포함되지 않은 경우 EKU 값을 로 설정합니다`clientAuthentication`. 자세한 내용은 [4.2.1.12을 참조하세요. RFC 5280의 확장 키 사용](https://www.rfc-editor.org/rfc/rfc5280#section-4.2.1.12:~:text=MAX)%0A%0A4.2.1.12.-,Extended%20Key%20Usage,-This%20extension%20indicates).
+ CSRs에서 `ValidityPeriod` 및 `ValidityPeriodUnits` 사용자 지정 속성을 지원합니다. CSR에가 포함되지 않은 경우 유효 기간이 1년인 인증서를 발급`ValidityPeriod`합니다. MDM 시스템에서 이러한 속성을 설정하지 못할 수 있습니다. 하지만 설정할 수 있는 경우 이를 지원합니다. 이러한 속성에 대한 자세한 내용은 [szENROLLMENT\_NAME\_VALUE\_PAIR](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wcce/92f07a54-2889-45e3-afd0-94b60daa80ec)를 참조하세요.

**엔드포인트 공유**  
커넥터의 엔드포인트를 신뢰할 수 있는 당사자에게만 배포합니다. 고유한 정규화된 도메인 이름과 경로를 찾을 수 있는 사람은 누구나 CA 인증서를 검색할 수 있으므로 엔드포인트를 보안 암호로 취급합니다.

## 제한 사항
<a name="c4scep-limitations"></a>

SCEP용 커넥터에는 다음 제한 사항이 적용됩니다.

**동적 챌린지 암호**  
범용 커넥터를 통해서만 정적 챌린지 암호를 생성할 수 있습니다. 범용 커넥터에서 동적 암호를 사용하려면 커넥터의 정적 암호를 사용하는 고유한 교체 메커니즘을 구축해야 합니다. SCEP for Microsoft Intune 커넥터 유형은 Microsoft Intune을 사용하여 관리하는 동적 암호에 대한 지원을 제공합니다.

**HTTP**  
SCEP용 커넥터는 HTTPS만 지원하고 HTTP 호출에 대한 리디렉션을 생성합니다. 시스템이 HTTP에 의존하는 경우 SCEP용 커넥터가 제공하는 HTTP 리디렉션을 수용할 수 있는지 확인합니다.

**공유 프라이빗 CAs**  
소유자인 프라이빗 CAs에서만 SCEP용 커넥터를 사용할 수 있습니다.