本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 开始使用适用于 SCEP 的连接器
<a name="connector-for-scep-getting-started"></a>

使用适用于 SCEP 的 Conn AWS 私有证书颁发机构 ector，您可以从私有 CA 向 SCEP-enabled 设备和移动设备管理 (MDM) 系统颁发证书。创建连接器时， AWS 私有证书颁发机构 会创建一个 SCEP URL 供您申请证书，还会为您提供可用于集成到 MDM 系统的信息。

要颁发证书，必须创建 AWS 私有证书颁发机构 私有 CA，创建连接器，然后将 SCEP-enabled MDM 系统和设备配置为向连接器请求证书。

**Topics**
+ [开始前的准备工作](#connector-for-scep-getting-started-prerequisites)
+ [步骤 1：创建连接器](#gs-create-connector-for-scep-console)
+ [步骤 2：将连接器详细信息复制到 MDM 系统中](#gs-connector-for-scep-view-details)

## 开始前的准备工作
<a name="connector-for-scep-getting-started-prerequisites"></a>

以下教程将指导您完成为 SCEP 创建连接器的过程。

要学习本教程，你需要一个私有 CA 和一 SCEP-enabled 台设备。您还必须首先满足本[为 SCEP 设置连接器](connector-for-scep-setting-up.md)节中列出的先决条件。

以下过程指导您如何使用 AWS 控制台创建连接器。

**Topics**
+ [开始前的准备工作](#connector-for-scep-getting-started-prerequisites)
+ [步骤 1：创建连接器](#gs-create-connector-for-scep-console)
+ [步骤 2：将连接器详细信息复制到 MDM 系统中](#gs-connector-for-scep-view-details)

## 步骤 1：创建连接器
<a name="gs-create-connector-for-scep-console"></a>

你要么创建一个用于通用用途的连接器，要么为 Microsoft Intune 创建用于 SCEP 的连接器。 General-purpose 连接器专为与 SCEP-enabled 端点配合使用而设计，您可以管理 SCEP 质询密码。适用于微软 Intune 的 SCEP 连接器适用于微软 Intune，你可以使用 Microsoft Intune 管理质询密码。

------
#### [ General-purpose ]

**创建用于通用用途的连接器**

登录您的 AWS 账户，打开适用于 SCEP 的连接器控制台，网址为**[https://console.aws.amazon.com/pca-connector-scep/home](https://console.aws.amazon.com/pca-connector-scep/home)**。

1. 选择 **Create connector (创建连接器)**。

1. 在 “**创建连接器**” 页面中，可以选择在 “名称**标记” 字段中为连接器指定一个友好名称**。该名称将显示在您的连接器列表中。如果您愿意，可以通过选择 “添加更多标签” 向连接器**添加更多标签**。标签是您分配给 AWS 资源的标签。每个标签都由一个键和一个可选值组成。您可以使用标签来搜索和筛选资源或跟踪 AWS 成本。

1. 在 “**连接器类型**” 下，选择**General-purpose**。

1. 在 “**私有 CA**” 下，选择要用于此连接器的私有 CA。或者，通过选择 “创建**私有 CA” 来创建一个新的 CA**。由于 SCEP 协议中存在固有的漏洞，我们建议使用专用于此连接器的私有 CA。如果您创建了新 CA，则在中 AWS 私有 CA完成创建后，请返回 Connector for SCEP 控制台并刷新私有 CA 列表。您的新私有 CA 应该可供选择。

1. 在 “**质询密码**” 下，选择 “**自动生成质询密码**”。创建此连接器时，我们将为您生成一个静态质询密码。

1.  在 “**连接**” 下，选择 “**公**用” 以创建可通过公共互联网访问的连接器。或者，选择**私有**并指定 VPC 终端节点，将此连接器限制为只能通过该特定的 VPC 终端节点进行访问。

1. 选择 “**创建连接器**”。

------
#### [ Microsoft Intune ]

**为微软 Intune 的 SCEP 创建 Connector**

登录您的 AWS 账户，打开适用于 SCEP 的连接器控制台，网址为**[https://console.aws.amazon.com/pca-connector-scep/home](https://console.aws.amazon.com/pca-connector-scep/home)**。

1. 选择 **Create connector (创建连接器)**。

1. 在**创建连接器**页面上，可以选择在名称**标签字段中为连接器指定一个友好名称**。该名称将显示在您的连接器列表中。如果您愿意，可以通过选择 “添加更多标签” 向连接器**添加更多标签**。标签是您分配给 AWS 资源的标签。每个标签都由一个键和一个可选值组成。您可以使用标签来搜索和筛选资源或跟踪 AWS 成本。

1. 在 “**连接器类型**” 下，选择 **Microsoft Intune**。

   1. 对于**应用程序（客户端）ID**，请输入您的 Microsoft Entra ID 应用程序注册中的应用程序（客户端）ID。有关使用带连接器的 Microsoft Intune for SCEP 的信息，请参阅。[为适用于 SCEP 的连接器配置 MDM 系统配置您的 MDM 系统](using-connector-for-scep-with-mdm.md)

   1. 对于**目录（租户）ID 或主域**，请输入您的 Microsoft Entra ID 应用程序注册中的目录（租户）ID 或主域。

1. 在 “**私有 CA**” 下，选择要用于此连接器的私有 CA。或者，通过选择 “创建**私有 CA” 来创建一个新的 CA**。由于 SCEP 协议中存在固有的漏洞，我们建议使用专用于此连接器的私有 CA。如果您创建了新 CA，则在中 AWS 私有 CA完成创建后，请返回 Connector for SCEP 控制台并刷新私有 CA 列表。您的新私有 CA 应该可供选择。

1.  在 “**连接**” 下，选择 “**公**用” 以创建可通过公共互联网访问的连接器。或者，选择**私有**并指定 VPC 终端节点，将此连接器限制为只能通过该特定的 VPC 终端节点进行访问。

1. 选择 “**创建连接器**”。

------

## 步骤 2：将连接器详细信息复制到 MDM 系统中
<a name="gs-connector-for-scep-view-details"></a>

创建连接器后，您需要将连接器中的以下详细信息复制到您的 MDM 系统中。要使用控制台查看连接器的详细信息，请从 [SCEP 连接器控制台页面的列表中选择该连接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)。
+ **SCEP URL**-这是连接器的端点，您的 SCEP 客户端将从中请求证书。注意仅将此端点提供给可信实体。
+ (General-purpose) **质询密码**-在 “**质询密码**” 下，选择您在上述过程中自动生成的密码，然后选择 “**查看密码**” 以查看密码。要创建其他密码，请选择**创建密码**。请注意谨慎分发密码，并且仅向高度信任的个人和客户分发密码。单个质询密码可用于颁发任何证书，包括任何主题和 SAN，因此应谨慎处理。
+ （Microsoft Intune）Ope **n ID** 值——如果你要与微软 Intune 集成，则必须将**开放身份证颁发者、开放身份****主题和开放身份****受众**复制到微软 Entra 应用程序注册的 OpenID Connect (OIDC) 凭证中。有关更多信息，请参阅 [为适用于 SCEP 的连接器配置 MDM 系统配置您的 MDM 系统](using-connector-for-scep-with-mdm.md)。