本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 了解 Connector 的 SCEP 注意事项和限制
<a name="c4scep-considerations-limitations"></a>

使用适用于 SCEP 的连接器时，请记住以下注意事项和限制。

## 注意事项
<a name="c4scep-considerations"></a>

**CA 操作模式**

您只能将 Connector for SCEP 与使用通用操作模式的私有 CA 一起使用。SCEP 的连接器默认为颁发有效期为一年的证书。使用短期证书模式的私有 CA 不支持颁发有效期大于七天的证书。有关操作模式的信息，请参见[了解 AWS 私有 CA CA 模式](short-lived-certificates.md)。

**质疑密码**
+ 非常谨慎地分发您的挑战密码，并且仅与高度信任的个人和客户共享。单个质询密码可用于颁发任何证书，包括任何主体和 SAN，这会带来安全风险。
+ 如果使用通用连接器，我们建议您经常手动轮换质询密码。

**符合 RFC 8894**

SCEP 连接器通过提供 HTTPS 端点而不是 HTTP 端点来偏离 [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) 协议。

**企业社会责任**
+ 如果发送到 Connector for SCEP 的证书签名请求 (CSR) 不包括扩展密钥使用 (EKU) 扩展，我们会将 EKU 值设置为。`clientAuthentication`有关信息，请参阅 [4.2.1.12。RFC 528@@ 0 中扩展了密钥的用法](https://www.rfc-editor.org/rfc/rfc5280#section-4.2.1.12:~:text=MAX)%0A%0A4.2.1.12.-,Extended%20Key%20Usage,-This%20extension%20indicates)。
+ 我们支持 CSR 中的属性`ValidityPeriod`并对其进行`ValidityPeriodUnits`自定义。如果您的 CSR 不包括`ValidityPeriod`，我们会颁发有效期为一年的证书。请记住，您可能无法在 MDM 系统中设置这些属性。但是，如果你能设置它们，我们就会支持它们。有关这些属性的信息，请参阅 [szenrolment\_name\_value\_pair](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wcce/92f07a54-2889-45e3-afd0-94b60daa80ec)。

**端点共享**  
仅将连接器的端点分发给可信方。将终端节点视为机密，因为任何能够找到您唯一的完全限定域名和路径的人都可以检索您的 CA 证书。

## 限制
<a name="c4scep-limitations"></a>

以下限制适用于 SCEP 的连接器。

**动态质询密码**  
您只能使用通用连接器创建静态质询密码。要在通用连接器上使用动态密码，必须构建自己的轮换机制，使用连接器的静态密码。适用于 Microsoft Intune 的 SCEP 连接器类型支持动态密码，你可以使用 Microsoft Intune 管理动态密码。

**HTTP**  
SCEP 连接器仅支持 HTTPS，并且可以为 HTTP 调用创建重定向。如果您的系统依赖于 HTTP，请确保它能够容纳 Connector for SCEP 提供的 HTTP 重定向。

**共享私有 CA**  
您只能将适用于 SCEP 的 Connector 与您拥有的私有 CA 一起使用。