

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Compreenda as considerações e limitações do Connector for SCEP
<a name="c4scep-considerations-limitations"></a>

Lembre-se das seguintes considerações e limitações ao usar o Connector for SCEP.

## Considerações
<a name="c4scep-considerations"></a>

**Modos de operação CA**

Você só pode usar o Connector for SCEP com particulares CAs que usem um modo operacional de uso geral. O padrão do Connector for SCEP é emitir certificados com um período de validade de um ano. Uma CA privada usando um modo de certificado de curta duração não suporta a emissão de certificados com um período de validade superior a sete dias. Para obter informações sobre os modos de operação, consulte[Entenda os modos CA Privada da AWS CA](short-lived-certificates.md).

**Desafie as senhas**
+ Distribua suas senhas de desafio com muito cuidado e compartilhe somente com pessoas e clientes altamente confiáveis. Uma única senha de desafio pode ser usada para emitir qualquer certificado, com qualquer assunto e SANs que represente um risco de segurança.
+ Se estiver usando um conector de uso geral, recomendamos que você alterne manualmente suas senhas de desafio com frequência.

**Conformidade com a RFC 8894**

O conector para SCEP se desvia do protocolo [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) fornecendo pontos de extremidade HTTPS em vez de pontos de extremidade HTTP.

**CSRs**
+ Se uma solicitação de assinatura de certificado (CSR) enviada ao Connector for SCEP não incluir a extensão Extended Key Usage (EKU), definiremos o valor de EKU como. `clientAuthentication` Para obter informações, consulte [4.2.1.12. Uso estendido da chave](https://www.rfc-editor.org/rfc/rfc5280#section-4.2.1.12:~:text=MAX)%0A%0A4.2.1.12.-,Extended%20Key%20Usage,-This%20extension%20indicates) no RFC 5280.
+ Oferecemos suporte `ValidityPeriod` e `ValidityPeriodUnits` personalizamos atributos em CSRs. Se sua CSR não incluir um`ValidityPeriod`, emitimos um certificado com um período de validade de um ano. Lembre-se de que talvez você não consiga definir esses atributos em seu sistema MDM. Mas se você puder configurá-los, nós os apoiaremos. Para obter informações sobre esses atributos, consulte [SZENrollment\_name\_value\_pair](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wcce/92f07a54-2889-45e3-afd0-94b60daa80ec).

**Compartilhamento de endpoints**  
Distribua os endpoints de um conector somente para partes confiáveis. Trate os endpoints como secretos, pois qualquer pessoa que possa encontrar seu nome de domínio e caminho exclusivos e totalmente qualificados pode recuperar seu certificado CA.

## Limitações
<a name="c4scep-limitations"></a>

As limitações a seguir se aplicam ao Connector for SCEP.

**Senhas de desafio dinâmico**  
Você só pode criar senhas de desafio estáticas com conectores de uso geral. Para usar senhas dinâmicas com um conector de uso geral, você deve criar seu próprio mecanismo de rotação que empregue as senhas estáticas do conector. Os tipos de conector Connector for SCEP para Microsoft Intune oferecem suporte para senhas dinâmicas, que você gerencia usando o Microsoft Intune.

**HTTP**  
O Connector for SCEP suporta somente HTTPS e cria redirecionamentos para chamadas HTTP. Se seu sistema depende de HTTP, certifique-se de que ele possa acomodar os redirecionamentos HTTP fornecidos pelo Connector for SCEP.

**Privado compartilhado CAs**  
Você só pode usar o Connector for SCEP com privacidade CAs da qual você é o proprietário.