本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 私有 CA 适用于 SCEP 的连接器
简单证书注册协议 (SCEP) 连接器可链接 AWS 私有证书颁发机构 到支持 SCEP 的移动设备和网络设备。使用适用于 SCEP 的连接器,您可以使用 AWS 私有 CA 颁发证书和注册您的 SCEP 设备。SCEP 连接器可用于流行的移动设备管理 (MDM) 系统,专为与支持 SCEP 的客户端或端点配合使用而设计。
**Topics**
+ [
## 功能
](#features-c4scep)
+ [
## 如何开始使用适用于 SCEP 的连接器
](#how-to-gs-c4scep)
+ [
## 相关服务
](#related-services-c4scep)
+ [
## 适用于 SCEP 的接入连接器
](#accessing-c4scep)
+ [
## 定价
](#pricing-c4scep)
+ [
# 适用于 SCEP 概念的连接器
](c4scep-concepts.md)
+ [
# 了解 Connector 的 SCEP 注意事项和限制
](c4scep-considerations-limitations.md)
+ [
# 为 SCEP 设置连接器
](connector-for-scep-setting-up.md)
+ [
# 开始使用适用于 SCEP 的连接器
](connector-for-scep-getting-started.md)
+ [
# 为适用于 SCEP 的连接器配置 MDM 系统
](using-connector-for-scep-with-mdm.md)
+ [
# SCEP 连接器中的安全性
](c4scep-security.md)
+ [
# 适用于 SCEP 的显示器连接器
](c4scep-monitoring-overview.md)
+ [
# 对 SCEP 问题进行 AWS 私有证书颁发机构 连接器故障排除
](troubleshoot-connector-scep.md)
## 功能
**Support for SCEP 协议**-SCEP 是一种广泛采用的协议,用于从证书颁发机构 (CA) 获取数字身份证书并将其分发到移动设备和网络设备。您可以使用适用于 SCEP 的连接器来帮助您使用 SCEP 注册终端。
**移动设备注册** ——你可以将 Connector for SCEP 用于常用 MDM 系统,包括微软 Intune 和 Jamf Pro。
**大规模颁发证书**-将支持 SCEP 的设备配置为通过连接器的 SCEP 端点申请证书后,您的客户端可以自动向请求证书。 AWS 私有 CA
## 如何开始使用适用于 SCEP 的连接器
要开始使用,请从 Connector for [SCEP 管理控制台](https://console.aws.amazon.com/pca-connector-scep/home)启动向导,该向导可帮助您创建连接器并指定要与该连接器一起使用的私有 CA。完成这些步骤后,Connector for SCEP 将提供端点和其他配置参数,您可以将其输入到 MDM 系统或网络设备中。配置 MDM 系统或网络设备后,您的客户将自动向请求证书。 AWS 私有 CA要详细了解如何开始使用适用于 SCEP 的连接器,请参阅[开始使用适用于 SCEP 的连接器](connector-for-scep-getting-started.md)。
## 相关服务
SCEP 的连接器与以下 AWS 服务相关。
+ **AWS 私有证书颁发机构**- AWS 私有 CA 为您提供高度可用的私有 CA 服务,无需支付运营自己的私有 CA 的前期投资和持续维护成本。
+ AWS 私有 CA A@@ **ctive Directory** 连接器-AD 连接器将您的活动目录 (AD) 链接到 AWS 私有 CA。连接器负责将证书交换 AWS 私有 CA 给您的 AD 管理的用户和计算机。
## 适用于 SCEP 的接入连接器
您可以使用以下任何接口创建、访问和管理 SCEP 连接器的连接器:
+ **AWS 管理控制台**-提供可用于访问 SCEP 连接器的 Web 界面。参见 [SCEP 管理控制台的连接器](https://console.aws.amazon.com/pca-connector-scep/home)。
+ **AWS Command Line Interface**-为各种 AWS 服务提供命令,包括用于 SCEP 的连接器。在 AWS CLI Windows、macOS 和 Linux 上都支持。有关更多信息,请参阅 [AWS Command Line Interface](https://aws.amazon.com/cli/)。
+ **AWS SDKs**-提供特定语言 APIs 并处理许多连接细节,例如计算签名、处理请求重试次数和错误处理。有关更多信息,请参阅 [AWS Command Line Interface](https://aws.amazon.com/developer/tools/#SDKs)。
+ **SCEP API 连接器**-提供您使用 HTTPS 请求调用的低级 API 操作。使用适用于 SCEP 的连接器 API 是访问该服务的最直接方式。但是,适用于 SCEP 的 Connector API 要求您的应用程序处理低级细节,例如生成用于签署请求的哈希值以及错误处理。有关更多信息,请参阅适用于 [SCEP 的连接器 API 参考](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/Welcome.html)。
## 定价
SCEP 连接器作为一项功能提供,无需 AWS 私有 CA 额外付费。您只需为用于创建和更新连接器的 AWS 私有证书颁发机构 操作和证书付费。
有关最新的定 AWS 私有 CA 价信息,请参阅[AWS 私有证书颁发机构 定价](https://aws.amazon.com/private-ca/pricing/)。您也可以使用定 [AWS 价计算器](https://calculator.aws/#/createCalculator/certificateManager)来估算成本。
# 适用于 SCEP 概念的连接器
SCEP 连接器是的附加功能。 AWS 私有证书颁发机构
以下是 SCEP 连接器的关键概念:
**证书签名请求 (CSR)**
为颁发数字证书而向 CA 提供的必要信息。此信息包含公钥和身份。
**质询密码**
在从 CA 颁发证书之前,SCEP 协议使用质询密码对请求进行身份验证。SCEP 连接器根据连接器类型处理 SCEP 质询密码。有关更多信息,请参阅 [为适用于 SCEP 的连接器配置 MDM 系统配置您的 MDM 系统](using-connector-for-scep-with-mdm.md)。
**证书吊销**
证书吊销是在已颁发的证书到期之前将其吊销的过程。您可以通过调用 API、 AWS SDK 或 AWS CloudFormation来吊销与连接器关联[RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)的私有 CA 证书。 AWS Command Line Interface
**适用于 SCEP 的连接器**
SCEP 连接器可链接 AWS 私有 CA 到支持 SCEP 的设备。
**移动设备管理**
移动设备管理 (MDM) 允许 IT 管理员在智能手机、平板电脑和其他端点或设备上控制、保护和实施策略。许多 MDM 系统为基于 SCEP 的证书注册提供内置集成。
**SCEP**
SCEP 是一种用于自动分发证书的标准化协议 ([RFC 8894](https://datatracker.ietf.org/doc/html/rfc8894))。该协议为设备提供了向 CA 请求证书的端点。SCEP 使用质询密码授权向设备颁发证书。SCEP 通常应用于移动设备管理 (MDM) 系统和网络设备。MDM 解决方案允许 IT 管理员在智能手机、平板电脑和 Apple 工作站等其他实体上控制、保护和执行策略。大多数 MDM 解决方案都支持 SCEP,例如微软 Intune、Apple MDM 和 Jamf Pro。大多数网络设备,例如路由器、负载均衡器、Wi-Fi 集线器、VPN 设备和防火墙,都使用 SCEP 进行自动证书注册。
**SCEP 简介**
SCEP 配置文件包含用于定义证书配置文件的配置参数。这包括证书有效期、密钥大小、SCEP 配置名称、质询密码、失败的重试次数和重试间隔,以及其他与证书颁发相关的信息。MDM 系统和证书管理平台通常会将 SCEP 配置文件发送给将请求证书进行身份验证的客户端。
# 了解 Connector 的 SCEP 注意事项和限制
使用适用于 SCEP 的连接器时,请记住以下注意事项和限制。
## 注意事项
**CA 操作模式**
您只能将适用于 SCEP 的连接器与使用通用操作模式 CAs 的私有模式一起使用。SCEP 连接器默认颁发有效期为一年的证书。使用短期证书模式的私有 CA 不支持颁发有效期大于七天的证书。有关操作模式的信息,请参见[了解 AWS 私有 CA CA 模式](short-lived-certificates.md)。
**质疑密码**
+ 非常谨慎地分发您的挑战密码,并且仅与高度信任的个人和客户共享。单个质询密码可用于颁发任何证书、任何主题和 SANs,这会带来安全风险。
+ 如果使用通用连接器,我们建议您经常手动轮换质询密码。
**符合 RFC 8894**
SCEP 连接器通过提供 HTTPS 端点而不是 HTTP 端点来偏离 [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) 协议。
**CSRs**
+ 如果发送到 Connector for SCEP 的证书签名请求 (CSR) 不包括扩展密钥使用 (EKU) 扩展,我们会将 EKU 值设置为。`clientAuthentication`有关信息,请参阅 [4.2.1.12。RFC 528@@ 0 中扩展了密钥的用法](https://www.rfc-editor.org/rfc/rfc5280#section-4.2.1.12:~:text=MAX)%0A%0A4.2.1.12.-,Extended%20Key%20Usage,-This%20extension%20indicates)。
+ 我们在中支持`ValidityPeriod`和`ValidityPeriodUnits`自定义属性 CSRs。如果您的 CSR 不包括`ValidityPeriod`,我们会颁发有效期为一年的证书。请记住,您可能无法在 MDM 系统中设置这些属性。但是,如果你能设置它们,我们就会支持它们。有关这些属性的信息,请参阅 [szenrolment\$1name\$1value\$1pair](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wcce/92f07a54-2889-45e3-afd0-94b60daa80ec)。
**端点共享**
仅将连接器的端点分发给可信方。将终端节点视为机密,因为任何能够找到您的唯一完全限定域名和路径的人都可以检索您的 CA 证书。
## 限制
以下限制适用于 SCEP 的连接器。
**动态质询密码**
您只能使用通用连接器创建静态质询密码。要在通用连接器上使用动态密码,必须构建自己的轮换机制,使用连接器的静态密码。适用于 Microsoft Intune 的 SCEP 连接器类型支持动态密码,你可以使用 Microsoft Intune 管理动态密码。
**HTTP**
SCEP 连接器仅支持 HTTPS,并且可以为 HTTP 调用创建重定向。如果您的系统依赖于 HTTP,请确保它能够容纳 Connector for SCEP 提供的 HTTP 重定向。
**共享私人 CAs**
您只能使用私 CAs 有的 SCEP 连接器,而您是该连接器的所有者。
# 为 SCEP 设置连接器
本节中的步骤可帮助您开始使用适用于 SCEP 的连接器。它假设你已经创建了一个 AWS 账户。完成本页上的步骤后,您可以继续为 SCEP 创建连接器。
**Topics**
+ [
## 步骤 1:创建 AWS Identity and Access Management 策略
](#scep-prequisite-iam)
+ [
## 步骤 2:创建私有 CA
](#scep-prequisite-pca)
+ [
## 步骤 3:使用创建资源共享 AWS Resource Access Manager
](#scep-prequisite-ram-share-pca)
## 步骤 1:创建 AWS Identity and Access Management 策略
要为 SCEP 创建连接器,您需要创建一个 IAM 策略,授予 Connector for SCEP 创建和管理连接器所需的资源以及代表您颁发证书的能力。有关 IAM 的更多信息,请参阅[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 在 *IAM 用户指南*中。
以下示例是一个客户托管策略,您可以将其用于 Connector for SCEP。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "pca-connector-scep:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:PutPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "acm-pca:IssueCertificate",
"Resource": "*",
"Condition": {
"ArnLike": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*"
},
"ForAnyValue:StringEquals": {
"aws:CalledVia": "pca-connector-scep.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ram:CreateResourceShare",
"ram:GetResourcePolicies",
"ram:GetResourceShareAssociations",
"ram:GetResourceShares",
"ram:ListPrincipals",
"ram:ListResources",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes"
],
"Resource": "*"
}
]
}
```
------
## 步骤 2:创建私有 CA
要将连接器用于 SCEP,您需要将私有 CA 与该连接器关联起来。 AWS 私有证书颁发机构 由于 SCEP 协议中存在固有的安全漏洞,我们建议您使用仅用于连接器的私有 CA。
私有 CA 必须满足以下要求:
+ 它必须处于活动状态并使用通用操作模式。
+ 您必须拥有私有 CA。您不能使用通过跨账户共享与您共享的私有 CA。
将私有 CA 配置为与 SCEP 连接器一起使用时,请注意以下注意事项:
+ **DNS 名称**限制-考虑使用 DNS 名称限制来控制为你的 SCEP 设备颁发的证书中允许或禁止哪些域。有关更多信息,请参阅[中的如何强制执行 DNS 名称限制 AWS 私有证书颁发机构](https://aws.amazon.com/blogs/security/how-to-enforce-dns-name-constraints-in-aws-private-ca/)。
+ **撤销** — CRLs 在您的私有 CA 上启用 OCSP 或以允许撤销。有关更多信息,请参阅 [规划您的 AWS 私有 CA 证书吊销方法](revocation-setup.md)。
+ **PII** — 我们建议您不要在 CA 证书中添加个人身份信息 (PII) 或其他机密或敏感信息。如果出现安全漏洞,这有助于限制敏感信息的泄露。
+ 将@@ **根证书存储在信任存储**中 — 将根 CA 证书存储在设备信任存储中,以便您可以验证证书和的返回值[GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html)。有关与之相关的信任存储的信息 AWS 私有 CA,请参阅[根 CA](PcaTerms.md#terms-rootca)。
有关如何创建私有 CA 的信息,请参阅[在中创建私有 CA AWS 私有 CA](create-CA.md)。
## 步骤 3:使用创建资源共享 AWS Resource Access Manager
如果您使用 AWS Command Line Interface、 AWS SDK 或适用于 SCEP 的连接器 API 以编程方式使用适用于 SCEP 的连接器,则需要使用 AWS Resource Access Manager 服务主体共享与适用于 SCEP 的连接器共享您的私有 CA。这为 SCEP 的 Connector 提供了对您的私有 CA 的共享访问权限。当您在 AWS 控制台中创建连接器时,我们会自动为您创建资源共享。有关资源共享的信息,请参阅《*AWS RAM 用户指南》*中的[创建资源共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)。
要使用创建资源共享 AWS CLI,可以使用 AWS RAM **create-resource-share**命令。以下命令创建资源共享。将要共享的私有 CA 的 ARN 指定为的值。*resource-arns*
```
$ aws ram create-resource-share \
--region us-east-1 \
--name MyPcaConnectorScepResourceShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \
--resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID \
--principals pca-connector-scep.amazonaws.com \
--sources account
```
调用的服务主体`CreateConnector`拥有私有 CA 的证书颁发权限。要防止使用 Connector for SCEP 的服务主体对您的 AWS 私有 CA 资源拥有一般访问权限,请使用限制他们的权限。`CalledVia`
# 开始使用适用于 SCEP 的连接器
使用适用于 SCEP 的 Conn AWS 私有证书颁发机构 ector,您可以从私有 CA 向支持 SCEP 的设备和移动设备管理 (MDM) 系统颁发证书。创建连接器时, AWS 私有证书颁发机构 会创建一个 SCEP URL 供您申请证书,还会为您提供可用于集成到 MDM 系统的信息。
要颁发证书,必须创建 AWS 私有证书颁发机构 私有 CA,创建连接器,然后将启用 SCEP 的 MDM 系统和设备配置为向连接器请求证书。
**Topics**
+ [
## 开始前的准备工作
](#connector-for-scep-getting-started-prerequisites)
+ [
## 步骤 1:创建连接器
](#gs-create-connector-for-scep-console)
+ [
## 步骤 2:将连接器详细信息复制到 MDM 系统中
](#gs-connector-for-scep-view-details)
## 开始前的准备工作
以下教程将指导您完成为 SCEP 创建连接器的过程。
要学习本教程,你需要一个私有 CA 和一台支持 SCEP 的设备。您还必须首先满足本[为 SCEP 设置连接器](connector-for-scep-setting-up.md)节中列出的先决条件。
以下过程指导您如何使用 AWS 控制台创建连接器。
**Topics**
+ [
## 开始前的准备工作
](#connector-for-scep-getting-started-prerequisites)
+ [
## 步骤 1:创建连接器
](#gs-create-connector-for-scep-console)
+ [
## 步骤 2:将连接器详细信息复制到 MDM 系统中
](#gs-connector-for-scep-view-details)
## 步骤 1:创建连接器
你要么创建一个用于通用用途的连接器,要么为 Microsoft Intune 创建用于 SCEP 的连接器。通用连接器专为与启用 SCEP 的端点配合使用而设计,您可以管理 SCEP 质询密码。适用于微软 Intune 的 SCEP 连接器适用于微软 Intune,你可以使用 Microsoft Intune 管理质询密码。
------
#### [ General-purpose ]
**创建用于通用用途的连接器**
登录您的 AWS 账户,打开适用于 SCEP 的连接器控制台,网址为**[https://console.aws.amazon.com/pca-connector-scep/home](https://console.aws.amazon.com/pca-connector-scep/home)**。
1. 选择 **Create connector (创建连接器)**。
1. 在 “**创建连接器**” 页面中,可以选择在 “名称**标记” 字段中为连接器指定一个友好名称**。该名称将显示在您的连接器列表中。如果您愿意,可以通过选择 “添加更多标签” 向连接器**添加更多标签**。标签是您分配给 AWS 资源的标签。每个标签都由一个键和一个可选值组成。您可以使用标签来搜索和筛选资源或跟踪 AWS 成本。
1. 在 “**连接器类型**” 下,选择 “**通用**”。
1. 在 “**私有 CA**” 下,选择要用于此连接器的私有 CA。或者,通过选择 “创建**私有 CA” 来创建一个新的 CA**。由于 SCEP 协议中存在固有的漏洞,我们建议使用专用于此连接器的私有 CA。如果您创建了新 CA,则在中完成创建后,请返回 Con AWS 私有 CA nector for SCEP 控制台并刷新私有 CAs列表。您的新私有 CA 应该可供选择。
1. 在 “**质询密码**” 下,选择 “**自动生成质询密码**”。创建此连接器时,我们将为您生成一个静态质询密码。
1. 在 “**连接**” 下,选择 “**公**用” 以创建可通过公共互联网访问的连接器。或者,选择**私有**并指定 VPC 终端节点,将此连接器限制为只能通过该特定的 VPC 终端节点进行访问。
1. 选择**创建连接器**。
------
#### [ Microsoft Intune ]
**为微软 Intune 的 SCEP 创建 Connector**
登录您的 AWS 账户,打开适用于 SCEP 的连接器控制台,网址为**[https://console.aws.amazon.com/pca-connector-scep/home](https://console.aws.amazon.com/pca-connector-scep/home)**。
1. 选择 **Create connector (创建连接器)**。
1. 在**创建连接器**页面上,可以选择在名称**标签字段中为连接器指定一个友好名称**。该名称将显示在您的连接器列表中。如果您愿意,可以通过选择 “添加更多标签” 向连接器**添加更多标签**。标签是您分配给 AWS 资源的标签。每个标签都由一个键和一个可选值组成。您可以使用标签来搜索和筛选资源或跟踪 AWS 成本。
1. 在 “**连接器类型**” 下,选择 **Microsoft Intune**。
1. 对于**应用程序(客户端)ID**,请输入您的 Microsoft Entra ID 应用程序注册中的应用程序(客户端)ID。有关使用带连接器的 Microsoft Intune for SCEP 的信息,请参阅。[为适用于 SCEP 的连接器配置 MDM 系统配置您的 MDM 系统](using-connector-for-scep-with-mdm.md)
1. 对于**目录(租户)ID 或主域**,请输入您的 Microsoft Entra ID 应用程序注册中的目录(租户)ID 或主域。
1. 在 “**私有 CA**” 下,选择要用于此连接器的私有 CA。或者,通过选择 “创建**私有 CA” 来创建一个新的 CA**。由于 SCEP 协议中存在固有的漏洞,我们建议使用专用于此连接器的私有 CA。如果您创建了新 CA,则在中完成创建后,请返回 Con AWS 私有 CA nector for SCEP 控制台并刷新私有 CAs列表。您的新私有 CA 应该可供选择。
1. 在 “**连接**” 下,选择 “**公**用” 以创建可通过公共互联网访问的连接器。或者,选择**私有**并指定 VPC 终端节点,将此连接器限制为只能通过该特定的 VPC 终端节点进行访问。
1. 选择**创建连接器**。
------
## 步骤 2:将连接器详细信息复制到 MDM 系统中
创建连接器后,您需要将连接器中的以下详细信息复制到您的 MDM 系统中。要使用控制台查看连接器的详细信息,请从 [SCEP 连接器控制台页面的列表中选择该连接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)。
+ **SCEP URL**-这是连接器的端点,您的 SCEP 客户端将从中请求证书。注意仅将此端点提供给可信实体。
+ (通用)**质询密码**-在 “**挑战密码**” 下,选择您在上述过程中自动生成的密码,然后选择 “**查看密码**” 以查看密码。要创建其他密码,请选择**创建密码**。请注意谨慎分发密码,并且仅向高度信任的个人和客户分发密码。单个质询密码可用于颁发任何证书,包括任何主题和 SANs,因此应谨慎处理。
+ (Microsoft Intune)Ope **n ID** 值——如果你要与微软 Intune 集成,则必须将**开放身份证颁发者、开放身份****主题和开放身份****受众**复制到微软 Entra 应用程序注册的 OpenID Connect (OIDC) 凭证中。有关更多信息,请参阅 [为适用于 SCEP 的连接器配置 MDM 系统配置您的 MDM 系统](using-connector-for-scep-with-mdm.md)。
# 为适用于 SCEP 的连接器配置 MDM 系统
简单证书注册协议 (SCEP) 是用于证书注册和续订的标准协议。SCEP 连接器是一款基于 [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) 的 SCEP 服务器,可自动 AWS 私有证书颁发机构 向你的 SCEP 客户端颁发证书。创建连接器时,适用于 SCEP 的连接器会为 SCEP 客户端提供一个 HTTPS 端点,供其请求证书。客户端使用质询密码进行身份验证,该密码包含在向服务提出的证书签名请求 (CSR) 中。你可以将 Connector for SCEP 与流行的移动设备管理 (MDM) 系统(包括微软 Intune、Omnissa Workspace ONE 和 Jamf Pro)一起使用来注册移动设备。它旨在与任何支持 SCEP 的客户端或端点配合使用。
SCEP 连接器提供两种类型的连接器——通用连接器和适用于 Microsoft Intune 的 SCEP 连接器。以下各节介绍它们的工作原理,以及如何配置您的 MDM 系统以使用它们。
## 通用连接器
通用连接器旨在与支持 SCEP 的移动设备端点配合使用,但具有专用连接器的 Microsoft Intune 除外。使用通用连接器,例如 Jamf Pro 或 Omnissa Workspace ONE,您可以管理 SCEP 挑战密码。下图以移动设备管理 (MDM) 系统为例,但同样的功能适用于其他支持 SCEP 的系统或设备。
![\[描述 SCEP 通用连接器的连接器的工作原理。\]](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/images/GenPurpose.jpg)
1. MDM 系统(或其他设备或系统)向移动客户端发送 SCEP 配置文件。SCEP 配置文件包含定义证书配置文件的配置参数,例如证书有效期、质询密码以及与证书颁发相关的其他信息。
1. 移动客户端请求证书,还会发送包含质询密码的证书签名请求 (CSR)。
1. SCEP 连接器验证质询密码。如果证书有效,则该服务将 AWS 私有 CA 代表移动客户端请求证书。
1. AWS 私有 CA 颁发证书并将其发送到连接器进行 SCEP。
1. SCEP 连接器将颁发的证书发送到移动客户端。
## AWS 私有 CA 适用于微软 Intune 的 SCEP 连接器
AWS 私有 CA 适用于微软 Intune 的 SCEP 连接器专为与微软 Intune 配合使用而设计。使用适用于 Microsoft Intune 的 SCEP 连接器类型,你将使用 Microsoft Intune 来管理你的 SCEP 挑战密码。有关在 Microsoft Intune 中使用适用于 SCEP 的 Connector 的更多信息,请参阅。[为 SCEP 的 Connector 配置微软 Intune配置微软 Intune](connector-for-scep-intune.md)
要在微软 Intune 上使用 Connector for SCEP,你必须使用微软 Intune API 启用特定功能,并拥有有效的微软 Intune 许可证。你还应该查看[微软 Intune® 应用程序保护政策](https://learn.microsoft.com/en-us/mem/intune/apps/app-protection-policy)。
![\[适用于 Microsoft Intune 的 SCEP 连接器的工作原理。\]](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/images/Intune.jpg)
1. Microsoft Intune 向移动客户端发送 SCEP 配置文件。该配置文件包含一个加密的质询密码,移动客户端将其放入 CSR 中。
1. 移动客户端请求证书并将 CSR 发送给 Connector 以获取 SCEP。
1. SCEP 连接器将 CSR 发送给 Microsoft Intune 进行授权。
1. 微软 Intune 对 CSR 中的质询密码进行解密。如果证书有效,Microsoft Intune 会向 Connector 发送批准,让 SCEP 向移动客户端颁发证书。
1. SCEP 连接器 AWS 私有 CA 代表移动客户端请求证书。
1. AWS 私有 CA 颁发证书并将其发送到连接器进行 SCEP。
1. SCEP 连接器将颁发的证书发送到移动客户端。
**Topics**
+ [
## 通用连接器
](#connector-for-scep-how-it-works-general-purpose)
+ [
## AWS 私有 CA 适用于微软 Intune 的 SCEP 连接器
](#connector-for-scep-how-it-works-intune)
+ [
# 为 SCEP 的连接器配置 Jamf Pro
](connector-for-scep-general-purpose.md)
+ [
# 为 SCEP 的 Connector 配置微软 Intune
](connector-for-scep-intune.md)
+ [
# 为 SCEP 连接器配置 Omnissa Workspace ONE
](connector-for-scep-omnissa.md)
# 为 SCEP 的连接器配置 Jamf Pro
您可以在 Jamf Pro 移动设备管理 (MDM) 系统中 AWS 私有 CA 用作外部证书颁发机构 (CA)。本指南提供有关在创建通用连接器后如何配置 Jamf Pro 的说明。
## 为 SCEP 的连接器配置 Jamf Pro
本指南提供有关如何配置 Jamf Pro 以与适用于 SCEP 的连接器一起使用的说明。成功为 SCEP 配置 Jamf Pro 和 Connector 后,您将能够向托管设备颁 AWS 私有 CA 发证书。
### Jamf Pro 要求
您的 Jamf Pro 实施必须满足以下要求。
+ 您必须在 Jamf Pro 中**启用 “启用基于证书的身份验证**” 设置。您可以在 Jamf Pro 文档的 Jamf Pro [安全设置](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/Security_Settings.html)页面上找到有关此设置的详细信息。
### 第 1 步:(可选-推荐)获取您的私有 CA 的指纹
指纹是您的私有 CA 的唯一标识符,可用于在与其他系统或应用程序建立信任时验证您的 CA 的身份。通过使用证书颁发机构 (CA) 指纹,托管设备可以对其连接的 CA 进行身份验证,并仅向预期的 CA 请求证书。我们建议在 Jamf Pro 上使用 CA 指纹。
**为您的私有 CA 生成指纹**
1. 从 AWS 私有 CA 控制台或使用获取私有 CA 证书[GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html)。将其另存为`ca.pem`文件。
1. 安装 [OpenSSL 命令行实用](https://wiki.openssl.org/index.php/Command_Line_Utilities)程序。
1. 在 OpenSSL 中,运行以下命令来生成指纹:
```
openssl x509 -in ca.pem -sha256 -fingerprint
```
### 第 2 步:在 Jamf Pro 中配置 AWS 私有 CA 为外部 CA
为 SCEP 创建连接器后,必须在 Jamf Pro 中设置 AWS 私有 CA 为外部证书颁发机构 (CA)。您可以设置 AWS 私有 CA 为全局的外部 CA。或者,您可以使用 Jamf Pro 配置文件 AWS 私有 CA 为不同的用例颁发不同的证书,例如向组织中的一部分设备颁发证书。有关实现 Jamf Pro 配置文件的指导超出了本文档的范围。
**在 Jamf Pro 中配置 AWS 私有 CA 为外部证书颁发机构 (CA)**
1. 在 Jamf Pro 控制台中,前往 **“设置” > “**全局**” > “PKI 证书**”,进入 **P** KI 证书**设置**页面。
1. 选择 “**管理证书模板**” 选项卡。
1. 选择**外部 CA**。
1. 选择**编辑**。
1. (可选)为**配置文件选择 “启用 Jamf Pro 作为 SCEP 代理”。**您可以使用 Jamf Pro 配置文件颁发针对特定用例量身定制的不同证书。有关如何在 Jamf Pro 中使用配置文件的指导,请参阅 Jamf Pro 文档中的[启用 Jamf Pro 作为配置文件的 SCEP 代理](https://learn.jamf.com/en-US/bundle/technical-paper-scep-proxy-current/page/Enabling_as_SCEP_Proxy_for_Configuration_Profiles.html#ariaid-title2)。
1. 选择 “**使用支持 SCEP 的外部 CA 注册计算机和移动设备**”。
1. (可选)选择**使用 Jamf Pro 作为 SCEP 代理进行计算机和移动设备注册**。如果您遇到配置文件安装失败的情况,请参阅[解决配置文件安装失败的问题](#connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot)。
1. 将 SCEP 连接器 SCE **P 网址**从连接器的详细信息中复制并粘贴到 Jamf Pro **的 URL** 字段。要查看连接器的详细信息,请从 [SCEP 连接器列表中选择该连接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)。或者,您可以通过调用[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)并复制响应中的`Endpoint`值来获取 URL。
1. (可选)在名称字段中输入实例的**名称**。例如,你可以给它起个名字**AWS 私有 CA**。
1. 为挑战类型选择 “**静态**”。
1. 从连接器中复制质询密码,然后将其粘贴到**挑战**字段中。一个连接器可以有多个质询密码。要查看连接器的质询密码,请在 AWS 控制台中导航到连接器的详细信息页面,然后选择**查看密码**按钮。或者,您可以通过调用[GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)并复制响应中的`Password`值来获取连接器的质询密码。有关使用质询密码的信息,请参阅[了解 Connector 的 SCEP 注意事项和限制注意事项和限制](c4scep-considerations-limitations.md)。
1. 将质询密码粘贴到**验证质询**字段中。
1. 选择密**钥大小**。我们建议密钥大小为 2048 或更高。
1. (可选)选择 “**用作数字签名**”。选择此项进行身份验证,以授予设备对 Wi-Fi 和 VPN 等资源的安全访问权限。
1. (可选)选择 “**用于密钥加密**”。
1. (可选-推荐)在 “**指纹**” 字段中输入十六进制字符串。我们建议您添加 CA 指纹以允许托管设备验证 CA,并且仅向 CA 申请证书。有关如何为私有 CA 生成指纹的说明,请参阅[第 1 步:(可选-推荐)获取您的私有 CA 的指纹](#connector-for-scep-jamf-pro-ca-fingerprint)。
1. 选择**保存**。
### 步骤 3:设置配置文件签名证书
要使用带连接器的 Jamf Pro for SCEP,您必须提供与您的连接器关联的私有 CA 的签名和 CA 证书。为此,您可以将包含两个证书的配置文件签名证书密钥库上传到 Jamf Pro。
以下是创建证书密钥库并将其上传到 Jamf Pro 的步骤:
+ 使用内部流程生成证书签名请求 (CSR)。
+ 获取由与您的连接器关联的私有 CA 签署的 CSR。
+ 创建包含配置文件签名和 CA 证书的配置文件签名证书密钥库。
+ 将证书密钥库上传到 Jamf Pro。
通过执行这些步骤,您可以确保您的设备可以验证和验证由您的私有 CA 签名的配置文件,从而允许在 Jamf Pro 中使用适用于 SCEP 的 Connector。
1. 以下示例使用 OpenSSL 和 AWS Certificate Manager,但您可以使用首选方法生成证书签名请求。
------
#### [ AWS Certificate Manager console ]
**使用 ACM 控制台创建配置文件签名证书**
1. 使用 ACM [申请私有 PKI 证书]()。包括以下内容:
+ **类型**-使用与 MDM 系统的 SCEP 证书颁发机构相同的私有 CA 类型。
+ 在**证书颁发机构详细信息**部分,选择**证书颁发机构**菜单,然后选择用作 Jamf Pro CA 的私有 CA。
+ **域名**-提供要嵌入到证书中的域名。您可以使用完全限定的域名 (FQDN),例如`www.example.com`,也可以使用裸域名或顶点域名,例如`example.com`(不`www.`包括)。
1. 使用 ACM [导出您在上一步中创建的私有证书](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。选择**导出证书、证书链和加密密钥的文件**。请随身携带**密码短语**,因为下一步你将需要它。
1. 在终端中,在包含导出文件的文件夹中运行以下命令,将 PKCS \$112 bundle 写入由您在上一步中创建的密码编码`output.p12`的文件中。
```
openssl pkcs12 -export \
-in "Exported Certificate.txt" \
-certfile "Certificate Chain.txt" \
-inkey "Exported Certificate Private Key.txt" \
-name example \
-out output.p12 \
-passin pass:your-passphrase \
-passout pass:your-passphrase
```
------
#### [ AWS Certificate Manager CLI ]
**使用 ACM CLI 创建配置文件签名证书**
+ 以下命令显示如何在 ACM 中创建证书,然后将文件导出为 PKCS \$112 捆绑包。
```
PCA=
CERTIFICATE=$(aws acm request-certificate \
--certificate-authority-arn $PCA \
--domain-name \
| jq -r '.CertificateArn')
while [[ $(aws acm describe-certificate \
--certificate-arn $CERTIFICATE \
| jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.Certificate' > Certificate.pem
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
openssl pkcs12 -export \
-in "Certificate.pem" \
-certfile "CertificateChain.pem" \
-inkey "PrivateKey.pem" \
-name example \
-out output.p12 \
-passin pass:passphrase \
-passout pass:passphrase
```
------
#### [ OpenSSL CLI ]
**使用 OpenSSL CLI 创建配置文件签名证书**
1. 使用 OpenSSL,通过运行以下命令生成私钥。
```
openssl genrsa -out local.key 2048
```
1. 生成证书签名请求 (CSR):
```
openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation
```
1. 使用 AWS CLI,使用您在上一步中生成的 CSR 颁发签名证书。运行以下命令,并在响应中记下证书 ARN。
```
aws acm-pca issue-certificate --certificate-authority-arn --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS
```
1. 运行以下命令获取签名证书。指定上一步中的证书 ARN。
```
aws acm-pca get-certificate --certificate-authority-arn --certificate-arn | jq -r '.Certificate' >local.crt
```
1. 运行以下命令获取 CA 证书。
```
aws acm-pca get-certificate-authority-certificate --certificate-authority-arn | jq -r '.Certificate' > ca.crt
```
1. 使用 OpenSSL,以 p12 格式输出签名证书密钥库。使用您在步骤四和步骤五中生成的 CRT 文件。
```
openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
```
1. 出现提示时,输入导出密码。此密码是您提供给 Jamf Pro 的密钥库密码。
------
1. 在 Jamf Pro 中,导航到**管理证书模板**并转到**外部 CA** 窗格。
1. 在 “**外部 CA**” 窗格的底部,选择 “**更改签名和 CA 证书**”。
1. 按照屏幕上的说明上传外部 CA 的签名证书和 CA 证书。
### 步骤 4:(可选)在用户启动的注册过程中安装证书
要在您的客户端设备和私有 CA 之间建立信任,必须确保您的设备信任 Jamf Pro 颁发的证书。当客户端设备在[注册过程中申请证书时,您可以使用 Jamf Pro AWS 私有 CA的用户启动注册设置](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/User-Initiated_Enrollment_Settings.html#:~:text=In%20Jamf%20Pro%2C%20click%20Settings,to%20be%20used%20during%20enrollment.)自动在客户端设备上安装您的 CA 证书。
### 解决配置文件安装失败的问题
如果您在**为计算机和移动设备注册启用 “使用 Jamf Pro 作为 SCEP 代理**” 后遇到配置文件安装失败,请查阅您的设备日志并尝试以下操作。
| 设备日志错误消息 | 缓解方法 |
| --- |--- |
| `Profile installation failed. Unable to obtain certificate from SCEP server at ".jamfcloud.com". ` | 如果您在尝试注册时收到此错误消息,请重试注册。注册成功可能需要几次尝试。 |
| `Profile installation failed. Unable to obtain certificate from SCEP server at ".jamfcloud.com". ` | 您的质询密码可能配置错误。确认 Jamf Pro 中的质询密码是否与连接器的质询密码相匹配。 |
# 为 SCEP 的 Connector 配置微软 Intune
你可以用微软 Intune 移动设备管理 (MDM) 系统 AWS 私有 CA 作为外部证书颁发机构 (CA)。本指南提供有关在为微软 Intune 创建 SCEP 连接器后如何配置 Microsoft Intune 的说明。
## 先决条件
在为 Microsoft Intune 的 SCEP 创建连接器之前,必须完成以下先决条件。
+ 创建入口 ID。
+ 创建微软 Intune 租户。
+ 在你的 Microsoft Entra ID 中创建应用程序注册。有关如何管理应用程序[注册的应用程序级权限的信息,请参阅 Microsoft Entra 文档中的 Microsoft Entra ID 中更新应用程序请求](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane)的权限。应用程序注册必须具有以下权限:
+ 在 **Intune** 下设置 **sc** ep\$1challenge\$1provider。
+ **对于 **Microsoft Graph**,设置**应用程序.Read.All 和 User.Read。****
+ 您必须在应用程序注册管理员同意中授予该应用程序。有关信息,请参阅 Microsoft Entra 文档中的[授予整个租户对应用程序的管理员同意](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)。
**提示**
创建应用程序注册时,请记下**应用程序(客户端)ID** 和**目录(租户)ID 或主域**。当你为 Microsoft Intune 的 SCEP 创建连接器时,你需要输入这些值。有关如何获取这些值的信息,请参阅 Microsoft E [ntra 文档中的创建可以访问资源的 Microsoft Entra 应用程序和服务主体](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal)。
## 第 1 步:授予使用你的 Microsoft Entra ID 应用程序的 AWS 私有 CA 权限
为 Microsoft Intune 创建 SCEP 连接器后,必须在 Microsoft 应用程序注册下创建联合凭据,这样 SCEP 连接器才能与微软 Intune 通信。
**在 Microsoft Intune 中配置 AWS 私有 CA 为外部 CA**
1. 在 Microsoft Entra ID 控制台中,导航到**应用程序注册**。
1. 选择您创建的用于连接器 for SCEP 的应用程序。您单击的应用程序的应用程序(客户端)ID 必须与您在创建连接器时指定的 ID 相匹配。
1. 从 “**托管**” 下拉菜单中选择 “**证书和密钥**”。
1. 选择 “**联合证书**” 选项卡。
1. 选择**添加凭据**。
1. 从 “**联邦证书方案**” 下拉菜单中,选择 “**其他颁发者**”。
1. **将你的 Connector for SCEP for Microsoft Intune 详细信息中的 **OpenID 发行**者值复制并粘贴到发行者字段中。**要查看连接器的详细信息,请从 AWS 控制台的 [SCEP 连接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)列表中选择该连接器。或者,您可以通过调用获取 URL,[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)然后从响应中复制该`Issuer`值。
1. 在 “**类型**” 中,选择 “**显式主题标识符**”。
1. 将 **OpenID 主题**值从您的连接器复制并粘贴到**值**字段中。您可以在控制台的连接器详细信息页面中查看 OpenID 颁发者 AWS 值。或者,您可以通过调用获取 URL,[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)然后从响应中复制该`Audience`值。
1. (可选)在名称字段中输入实例的**名称**。例如,你可以给它起个名字**AWS 私有 CA**。
1. (可选)在描述字段中输入**描述**。
1. **将 **OpenID 受众**值从 Connector for Microsoft Intune 的 SCEP 详细信息复制并粘贴到 “受众” 字段中。**要查看连接器的详细信息,请从 AWS 控制台的 [SCEP 连接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)列表中选择该连接器。或者,您可以通过调用获取 URL,[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)然后从响应中复制该`Subject`值。
1. 选择**添加**。
## 第 2 步:设置微软 Intune 配置文件
在你授予 AWS 私有 CA 调用 Microsoft Intune 的权限后,你必须使用 Microsoft Intune 创建微软 Intune 配置文件,指示设备联系 Connector 获取 SCEP 以获取证书。
1. 创建可信证书配置文件。你必须将与 Connector for SCEP 一起使用的链的根 CA 证书上传到 Microsoft Intune 才能建立信任。有关如何创建可信证书配置文件的信息,请参阅 Microsoft Intune 文档中的 [Microsoft Intune 的可信根证书配置文件](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root)。
1. 创建 SCEP 证书配置文件,当您的设备需要新证书时,该配置文件可将设备指向连接器。配置文件的配置文件**类型应为** **SCEP 证书**。对于配置文件的根证书,请确保使用在上一步中创建的可信证书。
对于 **SCEP 服务器 URLs**,请将连接器详细信息中的 **SCEP URL** 复制并粘贴到 **SCEP 服务器字段**中。 URLs要查看连接器的详细信息,请从 [SCEP 连接器列表中选择该连接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)。或者,您可以通过调用获取 URL [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html),然后从响应中复制`Endpoint`值。有关在 Microsoft Intune 中创建配置文件的指南,请参阅微软 Intune 文档中的在 [Microsoft Intune 中创建和分配 SCEP 证书配置文件](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep)。
**注意**
对于非 Mac OS 和 iOS 设备,如果您未在配置文件中设置有效期,则适用于 SCEP 的 Connector 会颁发有效期为一年的证书。如果您未在配置文件中设置扩展密钥用法 (EKU) 值,则 SCEP 的 Connector 将颁发一个 EKU 设置为的证书。`Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)`对于 macOS `ExtendedKeyUsage` 或 iOS 设备,Microsoft Intune 不尊重你的`Validity`配置文件中的任何参数。对于这些设备,Connector for SCEP 通过客户端身份验证向这些设备颁发有效期为一年的证书。
## 步骤 3:验证与 SCEP 连接器的连接
创建指向 SCEP 连接器端点的 Microsoft Intune 配置文件后,请确认注册的设备可以申请证书。要进行确认,请确保没有任何策略分配失败。要进行确认,请在 Intune 门户中导航到 “**设备**” > “**管理设备**” > “**配置**”,并确认**配置策略分配失败**下没有列出任何内容。如果有,请使用上述过程中的信息确认您的设置。如果您的设置正确但仍然出现故障,请查阅[从移动设备收集可用数据](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device)。
有关设备注册的信息,请参阅[什么是设备注册?](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done) 在微软 Intune 文档中。
# 为 SCEP 连接器配置 Omnissa Workspace ONE
您可以在 Omnissa Workspace ONE UEM(统一端点管理)系统中 AWS 私有 CA 用作外部证书颁发机构 (CA)。本指南提供有关在中创建 SCEP 连接器后如何配置 Omnissa Workspace ONE 的说明。 AWS
## 先决条件
在为 Omnissa Workspace ONE 创建 SCEP 连接器之前,必须完成以下先决条件:
+ 在 AWS 控制台中创建私有 CA。有关更多信息,请参阅 [在中创建私有 CA AWS 私有 CA](create-CA.md)。
+ 创建通用的 SCEP 连接器。有关更多信息,请参阅[创建连接器](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console)。
+ 拥有一个活跃的 Omnissa Workspace ONE 环境管理员账户和组织组 ID。
+ 如果您要注册 Apple 设备,请为 MDM 配置 Apple 推送通知服务 (APNs)。有关更多信息,请参阅 Omnissa 文档中的[APNs 证书](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html)。
## 第 1 步:在 Omnissa Workspace ONE 中定义证书颁发机构和模板
在 AWS 控制台中创建私有 CA 和 SCEP 连接器后,在 Omnissa Workspace ONE 中定义证书颁发机构和模板。
**添加 AWS 私有 CA 为证书颁发机构**
1. 从 “**系统**” 菜单中选择 “**企业集成**”,然后选择 “**证书颁发机构**”。
1. 选择 **\$1 ADD** 并提供以下信息:
+ **名称**: AWS-Private-ca。
+ **描述**: AWS 私有 CA 用于颁发设备证书。
+ **权限类型**:选择**通用 SCEP**。
+ **SCEP 网址**:输入来自的 SCEP 网址。 AWS 私有 CA
+ **挑战类型**:选择**静态**。
+ **静态质询**:在控制台中输入连接器中用于 SCEP 配置的 SCEP 静态质询密码。 AWS
+ 输入**重试超时**和**最大重试次数**值。
1. 保存配置。
**创建证书模板**
1. 从 “**系统**” 菜单中选择 “**企业集成**”,选择 “**证书颁发机构**”,然后选择 “**模板**”。
1. 选择**添加模板**并提供以下信息:
+ **模板名称**: Device-Cert-Template.
+ **证书颁发机构**:选择 **AWS-Private-C** A。
+ **主题名称**:这是一个可自定义的字段。您可以从属性列表中选择变量值。例如,CN= \$1DeviceReportedName\$1、O= \$1\$1、OU= \$11DevicePlatform\$1 CustomAttribute
+ **私钥长度**:2048 位。
+ **私钥类型**:根据需要选择**签名**和**加密**
+ **自动续订**: Enabled/Disabled (根据您的需求)。
1. 保存此模板。
## 第 2 步:设置 Omnissa Workspace ONE UEM 配置文件配置
在 Omnissa Workspace ONE UEM 中创建配置文件,将设备定向到 Connector,让 SCEP 颁发证书。
**为证书分发创建 SCEP 设备配置文件**
1. 从 “**资源**” 菜单中选择 “**配置文件和基准**”,然后选择 “**配置文件**”。
1. 选择**添加**,然后选择**添加个人资料**
1. 选择设备平台(**安卓**、**iOS**、**macOS**、**Windows**)。
1. 根据需要设置**管理类型**和**上下文**。
1. 设置**名称**: Device-Cert-Profile.
1. 滚动到 **SCEP 有效负载**。
1. 选择 **SCEP**,然后选择 **\$1** 添加。
1. 使用以下配置:
+ **SCEP**:
+ 对于**凭据来源**,选择**定义的证书颁发机构**(默认)。
+ 对于**证书颁发机构**,请选择 **AWS-私有 C** A
+ 对于**证书模板**,选择步骤 **1 中定义的设备证书模板**。
1. 选择 “**下一步**”,然后在 “**任务**” 部分中,从列表中选择正确的智能组(设备的任务组)。
1. 选择 “**分配类型**” 为 “**自动**” 以启用自动续订。
1. 保存并发布个人资料。
**注意**
有关更多信息,请参阅 Omnis [sa 文档中的 SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html)。
## 第 3 步:在 Omnissa Workspace ONE 中注册设备
**创建或验证智能群组**
1. 从 “**群组和设置”** 中选择 “**群组**”,然后选择 “**任务小组**”。
1. 创建或编辑 POC 设备智能组:
+ **名称**:POC 设备。
+ **设备类型**:选择**全部**或特定平台(例如 Android 或 iOS)。
+ **标准**:使用 **UserGroup**“**平台和操作系统**”、“**OEM” 和 “型号**” 来指定对目标设备进行分组的标准。
+ **所有权**:为个人或公司设备选择 “**任**意”。
1. 保存并验证目标设备是否显示在 “**预览**” 选项卡中。
### 手动注册设备
Android
+ 从 Google Play 下载 **Workspace ONE 智能中心**应用程序。
+ 打开应用程序并输入注册网址或扫描二维码。
+ 登录并按照提示注册为 MDM 管理的设备。
iOS/macOS
+ 在设备上,打开 **Safari** 浏览并导航到注册网址(例如 https:///enroll)。
+ 使用用户凭据登录。
+ 从 App St **ore 下载并安装 Workspace ONE 智能中心**应用程序。
+ 按照提示在 **“设置” > “**常规**” > “**VPN 和设备管理**” > “**配置文件” > “安装” 中**安装** MDM **配置文件**。
Windows
+ 从 **Workspace ONE 服务器或微软商店下载 Workspace ONE 智能中心**。
+ 使用注册 URL 和凭据通过 Hub 注册。
在 “设备” > “**列表视图**” > “**更多操作**” > “分配到智能组” 中将注册的**设备****分配给 POC-Devices 智能**组。
有关更多信息,请参阅 Omnissa 文档中的[自动设备注册](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html)。
**验证注册**
1. **在 Omnissa Workspace ONE UEM 控制台中,前往 “**设备**”,然后转到 “列表视图”。**
1. 确认已注册设备的状态设置为 “**已注册**”。
1. **在 “设备详细信息” 的 “群组” 选项卡中,验证设备是否在 POC-devices 智能**组**中。**
## 第 4 步:颁发证书
**触发颁发证书**
1. 在**设备****列表视图中**,选择已注册的设备。
1. 选择 “**查询**” 按钮以提示办理登机手续。
1. Device-Cert-Profile应通过以下方式签发证书。 AWS 私有 CA
**验证证书安装**
Android
依次选择**设置**、**安全**、**可信凭证**和**用户**来验证证书。
iOS
前往 **“设置”**,然后选择 “**常规**”、“**VPN 和设备管理**”,然后选择 “**配置文件”**。验证来自的证书 AWS-Private-CA是否存在。
macOS
打开 “**钥匙串访问权限**”,然后打开 “**系统钥匙串**” 并验证证书。
Windows
打开 **certmgr.msc**,然后打开 “**个人**”,然后打开 “证书” 以**验证证书**。
## 问题排查
SCEP 错误(例如 “22013-SCEP 服务器返回的响应无效”)
+ 验证 Workspace ONE 中的 SCEP 网址和静态质询密码是否匹配 AWS 私有 CA。
+ 测试 SCEP 端点连接:curl。
+ 检查 AWS CloudTrail 日志中是否有 AWS 私有 CA 错误(例如`IssueCertificate`失败)。
APNs 问题(iOS/macOS)
+ 确保 APNs 证书有效且已分配给正确的组织组。
+ 测试 APNs 连接:telnet [gateway](http://gateway.push.apple.com/) .push.apple.com 2195。
配置文件安装失败
+ 确认设备位于正确的智能组中(依次选择 “**设备**”、“**列表视图”** 和 “**群组**”)。
+ 强制同步个人资料:依次选择 “**更多操作**”、“**发送**” 和 “**个人资料列表”**。
日志
+ 安卓系统:使用 **Logcat** 或 Workspace ONE
+ iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/Apple配置器)。
+ Windows:**事件查看器**,然后是**应用程序和服务日志**,然后是**微软-** Windows-。DeviceManagement
+ Workspace ONE UEM:**监控**,然后是**报告和分析**,然后是**事件**,然后是**设备事件**。
有关中用于 SCEP 监控的连接器的详细信息 AWS,请参阅 SCEP 的[https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html)
## 安全注意事项
+ 安全地存储 SCEP URLs 和机密。有关更多信息,请参阅[AWS Secrets Manager 服务](https://docs.aws.amazon.com/secretsmanager/)。
+ 将智能组标准仅限于目标设备。
+ 定期续订 Apple 推送通知 (APNs) 证书(有效期为 1 年)。
+ 为概念验证项目设置较短的证书有效期,以最大限度地降低风险。
+ 对于个人设备,请确保清理会删除所有配置文件和证书。
有关如何使用 SCEP 连接器配置 Omnissa Workspace ONE UEM 和 CA 集成的信息,请参阅 Omnissa Workspace ONE 文档[中的 SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)。
# SCEP 连接器中的安全性
云安全 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的* 安全性和云*中* 的安全性:
+ **云安全** — AWS 负责保护在 AWS 云中运行 AWS 服务的基础架构。
+ **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其它因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
本文档可帮助您了解在使用 Connector for SCEP 时如何应用分担责任模型。以下主题介绍如何为 SCEP 配置连接器以满足您的安全和合规性目标。
**Topics**
+ [
# 用于 SCEP VPC 终端节点的连接器 ()AWS PrivateLink
](c4scep-vpc-endpoints.md)
# 用于 SCEP VPC 终端节点的连接器 ()AWS PrivateLink
您可以通过配置接口 VPC 终端节点在您的 VPC 和适用于 SCEP 的连接器之间创建私有连接。接口端点由[AWS PrivateLink](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-privatelink.html)一种用于私密访问连接器以进行 SCEP API 操作的技术提供支持。 AWS PrivateLink 通过亚马逊网络路由您的 VPC 和 Connector for SCEP 之间的所有网络流量,避免暴露在开放的互联网上。每个 VPC 终端节点都由您的 VPC 子网中一个或多个使用私有 IP 地址的[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)代表。
接口 VPC 终端节点将您的 VPC 直接连接到 SCEP 连接器,无需互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。您的 VPC 中的实例不需要公有 IP 地址即可与 SCEP API 的连接器通信。
要通过您的 VPC 使用 Connector for SCEP,您必须从 VPC 内部的实例进行连接。或者,您可以使用 AWS Virtual Private Network (Site-to-Site VPN) 或将您的私有网络连接到 VPC Direct Connect。有关信息 Site-to-Site VPN,请参阅 *Amazon VPC 用户指南*[中的 VPN 连接](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)。有关 Direct Connect的信息,请参阅《*Direct Connect 用户指南*》中的[创建连接](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html#create-connection)。
SCEP 连接器不需要使用 AWS PrivateLink,但我们建议将其作为额外的安全层。有关 AWS PrivateLink 和 VPC 终端节点的更多信息,请参阅[通过访问服务 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/privatelink-access-aws-services.html)。
## SCEP VPC 终端节点连接器的注意事项
在为 SCEP 连接器设置接口 VPC 终端节点之前,请注意以下注意事项:
+ SCEP 连接器可能不支持某些可用区中的 VPC 终端节点。创建 VPC 端点时,请先在管理控制台中查看是否支持。不支持的可用区标记为“此可用区不支持服务”。
+ VPC 终端节点不支持跨区域请求。确保在创建连接器的同一区域创建终端节点。
+ VPC 端点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅 *Amazon VPC 用户指南*中的 [DHCP 选项集](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)。
+ 附加到 VPC 端点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。
## 为 SCEP 连接器创建 VPC 终端节点
您可以使用 VPC 控制台为适用于 SCEP 的连接器服务创建 VPC 终端节点。[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) AWS Command Line Interface有关更多信息,请参阅 *Amazon VPC 用户指南*中的[创建接口终端节点](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)程序。SCEP 连接器支持在您的 VPC 内调用其所有 API 操作。
创建终端节点时,请指定`com.amazonaws.region.pca-connector-scep`为服务名称。
如果您为终端节点启用了私有 DNS 主机名,那么 SCEP 终端节点的默认连接器现在会解析到您的 VPC 终端节点。有关默认服务终端节点的完整列表,请参阅[服务终端节点和配额](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html)。
如果您尚未启用私有 DNS 主机名,则 Amazon VPC 将提供一个您可以使用的 DNS 端点名称,格式如下:
```
vpc-endpoint-id.pca-connector-scep.region.vpce.amazonaws.com
```
有关更多信息,请参阅 *Amazon VPC 用户指南中的 VPC* [终端节点 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)。
## 为 SCEP 连接器创建 VPC 终端节点策略
您可以为 Connector for SCEP 的 Amazon VPC 终端节点创建策略,以指定以下内容:
+ 可执行操作的主体
+ 可执行的操作
+ 可对其执行操作的资源
有关更多信息,请参阅 *Amazon VPC 指南*中的[使用 VPC 终端节点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
**示例 — 用于 SCEP 操作的连接器的 VPC 终端节点策略**
连接到端点后,以下策略授予所有委托人访问列出的连接器的权限,以便对指定连接器资源进行 SCEP 操作。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"pca-connector-scep:GetConnector",
"pca-connector-scep:ListConnectors"
],
"Resource": "arn:aws:pca-connector-scep:region:account:connector/connector-id"
}
]
}
```
## 为 Connector 创建 VPC 终端节点以进行 SCEP 注册操作
SCEP 连接器为注册操作(例如`GetCACaps`和`PKIOperation`)提供单独的 VPC 终端节点服务。
创建注册端点时,请指定`com.amazonaws.region.pca-connector-scep.enroll`为服务名称。
创建连接器时,您可以选择指定,将连接器限制`VpcEndpointId`为只能通过该特定 VPC 终端节点进行访问。
如果您尚未启用私有 DNS 主机名,则 Amazon VPC 将提供一个您可以使用的 DNS 端点名称,格式如下:
```
vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com
```
**注意**
要访问您的连接器,您必须使用连接器详细信息中包含的终端节点 URL,而不是直接使用 VPC 终端节点 DNS 名称。但是,您可以将连接器终端节点 URL 的 DNS 名称部分替换为任何有效的 VPC 终端节点 DNS 名称,例如特定于 AZ 的 DNS 名称。
例如,要使用特定于可用区的 DNS 名称,您可以替换
```
https://vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
```
用
```
https://vpc-endpoint-id-availability-zone.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
```
**示例-用于 SCEP 注册操作的连接器的 VPC 终端节点策略**
您可以附加 VPC 终端节点策略来控制对注册操作的访问权限。连接到终端节点时,以下策略授予所有委托人访问`GetCACaps`和`PKIOperation`操作的权限。节中的资源是一个连接器。
SCEP 注册操作的连接器未使用 Sigv4 进行身份验证。因此,它们不与 IAM 委托人关联,而是被 VPC 终端节点策略视为匿名的。因此,您的 VPC 终端节点策略必须允许所有委托人执行这些操作。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"pca-connector-scep:GetCACaps",
"pca-connector-scep:GetCACert",
"pca-connector-scep:PKIOperation"
],
"Resource": [
arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566
]
}
]
}
```
# 适用于 SCEP 的显示器连接器
监控是维护 Connector for SCEP 和其他 AWS 解决方案的可靠性、可用性和性能的重要组成部分。 AWS 提供了以下监视工具,用于监视 Connector 的 SCEP,在出现问题时进行报告,并在适当时自动采取措施:
+ *AWS CloudTrail* 捕获由您的 AWS 账户 或代表该账户发出的 API 调用和相关事件,并将日志文件传输到您指定的 Amazon S3 桶。您可以识别哪些用户和帐户拨打了电话 AWS APIs、发出呼叫的源 IP 地址以及呼叫发生的时间。
如果您监控 CloudTrail 数据事件,则日志将包含来自客户端设备的所有最近请求的列表。数据事件附带可识别的客户端设备信息,例如 IP 地址、执行的操作类型以及错误代码和详细消息(如果操作导致`failed`状态)。有关更多信息,请参阅 [AWS CloudTrail 《用户指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
+ *Amazon EventBridge* 是一项无服务器事件总线服务,可以轻松地将您的应用程序与来自各种来源的数据连接起来。 EventBridge 提供来自您自己的应用程序、 Software-as-a-Service (SaaS) 应用程序和 AWS 服务的实时数据流,并将这些数据路由到 Lambda 和 CloudWatch 日志等目标。这使您能够监控服务中发生的事件,并构建事件驱动的架构。有关更多信息,请参阅 [Amazon EventBridge 用户指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/)。
**Topics**
+ [
# 使用 SCEP 自动连接器 EventBridge
](c4scep-monitor-eventbridge-events.md)
+ [
# 使用 SCEP API 调用的日志连接器 AWS CloudTrail
](logging-using-cloudtrail-c4scep.md)
# 使用 SCEP 自动连接器 EventBridge
您可以使用 [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cwe-now-eb.html) 实现 AWS 服务自动化,并自动响应系统事件,例如应用程序可用性问题或资源更改。来自 AWS 服务的事件几乎实时 EventBridge 地传送到。您可以编写简单的规则来指明您感兴趣的事件,以及当事件与规则匹配时要采取的自动操作。 EventBridge 至少发布一次。有关更多信息,请参阅中的[创建对事件做出反应的规则 EventBridge](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-Rule.html)。
CloudWatch 使用将事件转化为操作 EventBridge。使用 EventBridge,您可以使用事件来触发目标。有关更多信息,请参阅[什么是亚马逊 EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
## SCEP 事件类型的连接器
### 证书颁发成功
EventBridge 当我们为响应`PkiOperationPost`请求而颁发证书时,SCEP 连接器会向发送一个`Certificate Issuance Succeeded`事件。
以下是该事件的示例数据。
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Issuance Succeeded",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "success",
"requestType": "PkiOperationPost",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
}
```
### 证书颁发失败
EventBridge 当我们无法根据`PkiOperationPost`请求颁发证书时,SCEP 连接器会向发送一个`Certificate Issuance Failed`事件。
以下是该事件的示例数据。
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Issuance Failed",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "failure",
"requestType": "PkiOperationPost",
"reason": "The certificate authority is not active."
}
}
```
### 证书颁发机构证书检索成功
EventBridge 当我们收到`GetCACert`请求并成功检索连接器的私有 CA 证书时,SCEP 连接器会向发送一个`Certificate Authority Certificate Retrieval Succeeded`事件。
以下是该事件的示例数据。
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Authority Certificate Retrieval Succeeded",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "success",
"requestType": "GetCACert"
}
}
```
### 证书颁发机构证书检索失败
EventBridge 当我们收到`GetCACert`请求但无法检索连接器的私有 CA 证书时,SCEP 连接器会向发送一个`Certificate Authority Certificate Retrieval Failed`事件。该事件包括失败的原因。
以下是该事件的示例数据。
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Authority Certificate Retrieval Failed",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "failure",
"requestType": "GetCACert",
"reason": "The certificate authority certificate validity must be at least one year from today."
}
}
```
### 证书颁发机构证书检索成功
EventBridge 当我们收到`GetCACert`请求并成功检索连接器的私有 CA 证书时,SCEP 连接器会向发送一个`Certificate Authority Certificate Retrieval Succeeded`事件。
以下是该事件的示例数据。
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Authority Certificate Retrieval Succeeded",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "success",
"requestType": "GetCACert"
}
}
```
### 证书颁发机构功能检索成功
EventBridge 当我们收到 SCEP `GetCACaps` 请求并成功检索 CA 的功能时,SCEP 连接器会向发送一个`Certificate Authority Capabilities Retrieval Succeeded`事件。
以下是该事件的示例数据。
```
```
### 证书颁发机构功能检索失败
EventBridge 当我们收到 SCEP `GetCACaps` 请求但无法检索 CA 的功能时,SCEP 连接器会向发送一个`Certificate Authority Capabilities Retrieval Failed`事件。我们在事件中注明失败的原因。
以下是该事件的示例数据。
```
{
"resources":
[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector11223344-1234-1122-2233-112233445566"
],
"detailType":"Certificate Authority Capabilities Retrieval Failed",
"detail": {
"result":"failure",
"requestType":"GetCACaps",
"reason":"The request was denied due to request throttling."
},
"source":"aws.pca-connector-scep","accountId":"111122223333"
}
```
### 已调用不支持的操作
**已调用不支持的操作**
EventBridge 如果发送到连接器端点的操作不受支持或未知,SCEP 连接器会向发送`Unsupported Operation Invoked`事件。
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Unsupported Operation Invoked",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {}
}
```
## 创建 EventBridge 规则
在中 EventBridge,您可以创建响应所记录的事件的规则 CloudTrail。要创建包含连接器为 SCEP 记录的所有事件的规则,请将源设置为。`aws.pca-connector-scep`有关规则的更多信息,请参阅[在 Amazon 中创建规则 EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule)。
# 使用 SCEP API 调用的日志连接器 AWS CloudTrail
简单证书注册协议 (SCEP) 连接器与 AWS CloudTrail一项服务集成,该服务提供用户、角色、客户机或 AWS 服务所执行操作的记录。 CloudTrail 捕获所有 SCEP 连接器的 API 调用作为事件。捕获的调用包括来自连接器用于 SCEP 控制台的调用和对连接器进行 SCEP API 操作的代码调用。如果您创建跟踪,则可以允许将 CloudTrail 事件持续传输到 Amazon S3 存储桶,包括适用于 SCEP 的 Connector 的事件。如果您未配置跟踪,您仍然可以在 CloudTrail 控制台的事件**历史记录中查看最新的事件**。使用收集的信息 CloudTrail,您可以确定向 Connector 发出 SCEP 的请求、发出请求的 IP 地址、谁发出了请求、何时发出请求以及其他详细信息。
要了解更多信息 CloudTrail,请参阅[AWS CloudTrail 用户指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
## 用于存放 SCEP 信息的连接器 CloudTrail
CloudTrail 在您创建账户 AWS 账户 时已在您的账户上启用。当 Connector for SCEP 中发生活动时,该活动会与其他 AWS 服务 CloudTrail 事件一起记录在**事件历史**记录中。您可以在中查看、搜索和下载最近发生的事件 AWS 账户。有关更多信息,请参阅[使用事件历史记录查看 CloudTrail 事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
要持续记录您的事件 AWS 账户,包括适用于 SCEP 的 Connector 的事件,请创建跟踪。*跟踪*允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。默认情况下,在控制台中创建跟踪记录时,此跟踪记录应用于所有 AWS 区域。跟踪记录 AWS 分区中所有区域的事件,并将日志文件传送到您指定的 Amazon S3 存储桶。此外,您可以配置其他 AWS 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅下列内容:
+ [创建跟踪记录概述](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支持的服务和集成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [配置 Amazon SNS 通知 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [接收来自多个地区的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[接收来自多个账户的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
所有用于 SCEP 的连接器操作都由记录 CloudTrail 并记录在《[适用于 SCEP 的连接器 API](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/Welcome.html) 参考手册》中。例如,调用`GetConnector`和`CreateChallenge`操作会在 CloudTrail 日志文件中生成条目。`CreateConnector`
每个事件或日志条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容:
+ 请求是使用根证书还是 AWS Identity and Access Management (IAM) 用户凭证发出。
+ 请求是使用角色还是联合用户的临时安全凭证发出的。
+ 请求是否由其他 AWS 服务发出。
+ 请求是否由 SCEP 客户端设备发出。
有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## SCEP 管理事件的连接器
SCEP 连接器与 CloudTrail 集成,用于记录用户、角色或 AWS 服务在 SCEP 连接器中执行的 API 操作。您可以使用 CloudTrail 实时监控 Connector 的 SCEP API 请求,并将日志存储在亚马逊简单存储服务、亚马逊 CloudWatch 日志和亚马逊 CloudWatch 事件中。SCEP 连接器支持将以下操作作为事件记录在 CloudTrail 日志文件中:
+ [CreateChallenge](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_CreateChallenge.html)
+ [CreateConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_CreateConnector.html)
+ [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)
+ [GetChallengeMetadata](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengeMetadata.html)
+ [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)
+ [DeleteConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_DeleteConnector.html)
+ [DeleteChallenge](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_DeleteChallenge.html)
## 用于 SCEP 数据事件的连接器 CloudTrail
[数据事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events)提供有关在资源上或资源中执行的资源操作的信息,例如,当您的客户端向连接器端点发送 SCEP `GetCACaps` 消息时。这些也称为数据面板操作。数据事件通常是高容量活动。默认情况下, CloudTrail 不记录任何数据事件, CloudTrail **事件历史**记录也不记录这些事件。
记录数据事件将收取额外费用。有关 CloudTrail 定价的更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
您可以使用 CloudTrail 控制台或 CloudTrail API 操作记录`AWS::PCAConnectorSCEP::Connector`资源类型的数据事件。 AWS CLI有关如何记录数据事件的更多信息,请参阅《AWS CloudTrail 用户指南》**中的[使用 AWS 管理控制台记录数据事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console)和[使用 AWS Command Line Interface记录数据事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI)。
下表列出了您可以记录数据事件的 SCEP 连接器资源类型。**数据事件类型(控制台)**列显示要从控制 CloudTrail 台上的**数据事件类型**列表中选择的值。res **ources.type 值**列显示该`resources.type`值,您将在使用或配置高级事件选择器时指定该值。 AWS CLI CloudTrail APIs“** APIs 记录到的数据 CloudTrail**” 列显示了 CloudTrail 针对该资源类型记录的 API 调用。
| 数据事件类型(控制台) | resources.type 值 | 数据 APIs 已记录到 CloudTrail |
| --- | --- | --- |
| 连接器 | AWS::PCAConnectorSCEP::Connector | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/logging-using-cloudtrail-c4scep.html) |
您可以将高级事件选择器配置为在 `eventName`、`readOnly` 和 `resources.ARN` 字段上进行筛选,从而仅记录那些对您很重要的事件。以下示例是数据事件配置的 JSON 视图,该视图仅记录特定函数的事件。有关这些字段的更多信息,请参阅《AWS CloudTrail API 参考》**中的 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)。
```
[
{
"name": "connector-scep-events",
"fieldSelectors": [
{
"field": "eventCategory",
"equals": [
"Data"
]
},
{
"field": "resources.type",
"equals": [
"AWS::PCAConnectorSCEP::Connector"
]
},
{
"field": "resources.ARN",
"equals": [
"arn:aws:pca-connector-scep:US West (N. California):111122223333:connector/11223344-1122-2233-3344-cae95a00d2a7"
]
}
]
}
]
```
## 示例条目
跟踪是一种配置,允许将事件作为日志文件传输到您指定的 Amazon S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。事件代表来自任何来源的单个请求,包括有关请求的操作、操作的日期和时间、请求参数等的信息。 CloudTrail 日志文件不是公共 API 调用的有序堆栈跟踪,因此它们不会按任何特定的顺序出现。
**示例 1:管理事件,`CreateConnector`**
以下示例显示了演示该`CreateConnector`操作的 CloudTrail 日志条目。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "my-user-name"
},
"attributes": {
"creationDate": "2024-08-16T17:46:41Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-08-16T17:48:07Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "CreateConnector",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ClientToken": "11223344-2222-3333-4444-666555444555",
"CertificateAuthorityArn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"
},
"responseElements": {
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**示例 2:管理事件,`CreateChallenge`**
以下示例显示了演示该`CreateChallenge`操作的 CloudTrail 日志条目。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "user-name"
},
"attributes": {
"creationDate": "2024-08-16T17:46:41Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-08-16T17:47:52Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "CreateChallenge",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ClientToken": "11223344-2222-3333-4444-666555444555"
},
"responseElements": {
"Challenge": {
"Arn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/9cac40bc-acba-412e-9a24-f255ef2fe79a/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"CreatedAt": 1723830472.942,
"Password": "***",
"UpdatedAt": 1723830472.942
}
},
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**示例 3:管理事件,`GetChallengePassword`**
以下示例显示了演示该`GetChallengePassword`操作的 CloudTrail 日志条目。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "905418114790",
"userName": "111122223333"
},
"attributes": {
"creationDate": "2024-08-16T17:55:01Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "signin.amazonaws.com"
},
"eventTime": "2024-08-16T17:55:54Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "GetChallengePassword",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ChallengeArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:challenge/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**示例 4:数据事件,`PkiOperationPost`**
以下示例显示了演示失败`PkiOperationPost`呼叫的 CloudTrail 日志条目。该日志包括错误代码和错误消息,并说明了失败。
```
{
"eventVersion": "1.10",
"userIdentity": {
"type": "FederatedUser",
"principalId": "111122223333",
"accountId": "111122223333"
},
"eventTime": "2024-08-16T17:40:09Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "PkiOperationPost",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"errorCode": "BadRequestException",
"errorMessage": "The certificate authority is not in a valid state for issuing certificates (Service: AcmPca, Status Code: 400, Request ID: a1b2c3d4-5678-90ab-cdef-EXAMPLE55555)",
"requestParameters": null,
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::PCAConnectorSCEP::Connector",
"ARN": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "905418114790",
"eventCategory": "Data",
"tlsDetails": {
"clientProvidedHostHeader": "111122223333-a1b2c3d4-5678-90ab-cdef-EXAMPLE33333.enroll.pca-connector-scep.us-east-1.api.aws"
}
}
```
# 对 SCEP 问题进行 AWS 私有证书颁发机构 连接器故障排除
您可能需要解决与 SCEP 实现连接器相关的问题。本章提供有关服务发送的 HTTP 和客户端错误的详细信息。
**Topics**
+ [
# 对 SCEP 连接器的 HTTP 错误进行故障排除
](c4scep-troubleshoot-http-error.md)
+ [
# 对 SCEP 客户端错误进行连接器故障排除
](troubleshoot-connector-scep-client-errors.md)
# 对 SCEP 连接器的 HTTP 错误进行故障排除
当您的客户端触发 SCEP 数据平面连接器 API 操作并导致错误时,SCEP 连接器会向请求客户端发送包含错误信息的 HTTP 响应代码。
除了直接提供给客户端的服务响应外,您还可以使用[适用于 SCEP 的显示器连接器](c4scep-monitoring-overview.md)本节中描述的监控工具来查看和调试导致 HTTP 错误的错误。
以下是服务向 SCEP 客户端返回的错误消息、潜在原因以及为解决问题可以采取的步骤。
## HTTP 400 错误的请求
HTTP 400 响应代码意味着由于明显的客户端错误(例如请求中缺少数据或无效数据),SCEP 连接器无法处理请求。如果错误是由特定于 SCEP 协议的错误引起的,则 SCEP 连接器会将 SCEP 响应作为二进制文件包含在消息中。出于以下任何原因,SCEP 连接器 APIs 可以返回 400 个响应。
| 响应标头 (x-amzn-) ErrorType | 错误消息 (x-amzn-) ErrorMessage | 根本原因 | 修复 | 包括 SCEP 的回应? |
| --- | --- | --- | --- | --- |
| LimitExceededException | 已超过证书颁发机构颁发限制。 | 与连接器关联的私有证书颁发机构 (CA) 已超过其可以颁发的证书数量的配额。 | SCEP 连接器在其生命周期内只能连接到一个私有 CA。如果您已用尽私有 CA 的限制,请创建新的连接器或申请增加配额。有关私有 CA 配额的更多信息,请参阅[AWS 私有证书颁发机构 配额](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)。 | 否 |
| ValidationException | 请求必须包含 base64。 | SCEP 连接器无法处理 HTTP GET 请求,因为正文无效 Base64。 | 如果可能,请将您的客户端配置为使用 HTTP POST 消息而不是 HTTP GET 消息。如果必须使用 HTTP GET,则消息必须使用 Base64 格式。如果您的客户不符合这些要求,请联系[AWS 支持](https://aws.amazon.com/contact-us/)以寻求帮助。 | 否 |
| ValidationException | 证书颁发机构未激活。 | 与连接器关联的私有 CA 处于非活动状态。 | 重新激活私有 CA。有关信息,请参阅[在中更新私有 CA AWS 私有证书颁发机构](PCAUpdateCA.md)。 | 否 |
| ValidationException | 从今天起,证书颁发机构证书的有效期必须至少为一年。 | 从今天起,与通用连接器关联的私有 CA 的有效期必须为一年。 | 从今天起补发有效期超过一年的证书。有关管理证书的信息,请参阅[管理私有 CA 生命周期](ca-lifecycle.md)。 | 否 |
| ValidationException | 请求中包含的证书已过期。 | 客户端设备在每笔交易中生成的临时证书在服务收到时已过期。 | 很可能是您的客户端设备没有正确配置其时间设置,并且它们正在创建日期晚于实时的证书。如果您无法解决此问题,请联系[AWS 支持](https://aws.amazon.com/contact-us/)寻求帮助。 | 否 |
| ValidationException | 该请求包含无效的加密消息语法。 | 该服务无法解码 SCEP 请求消息。 | 检查您的 SCEP 消息是否符合 SCE [P](https://www.rfc-editor.org/rfc/rfc8894.html) RFC 8894 中定义的加密消息语法。如果您无法解决此问题,请联系[AWS 支持](https://aws.amazon.com/contact-us/)寻求帮助。 | 否 |
| ValidationException | 连接器未激活。 | 连接器的状态为未**激活**。 | 您可以在控制台或 API 的状态字段中找到连接器的[状态](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_Connector.html#:~:text=Required%3A%20No-,StatusReason,-Information%20about%20why)。连接器的状态可以是**创建**、**活动**、**正在删除**或**失败**。如果状态为**创建**中,请稍后再试您的请求。如果状态为**失败**,请查看状态原因以解决问题,然后创建新的连接器。 | 否 |
| ValidationException | 申请中必须包含有效的证书。 | 客户端请求消息中包含的临时证书要么丢失,要么无效。 | 与 SCEP 兼容的客户端必须提供自签名证书才能进行身份验证。如果您的客户无法提供所需的自签名证书,请联系[AWS 支持](https://aws.amazon.com/contact-us/)以寻求帮助。 | 否 |
| ValidationException | 请求的 URI 无效。 | SCEP 连接器无法解析请求,因为请求的 URI 路径或查询无效。 | 管理员应验证客户端设备的配置设置,这些设备通常通过移动设备管理 (MDM) 系统进行管理。有关更多信息,请参阅 [步骤 2:将连接器详细信息复制到 MDM 系统中](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details)。 | 否 |
| ValidationException | 请求中只需要一个主机标头。 | 客户端未在请求中提供有效的 HTTP Host 标头,这是处理请求所必需的。 | 需要使用 HTTP 主机标头来区分来自不同连接器的请求。如果您的客户端无法提供所需的 HTTP 主机标头,请联系[AWS 支持](https://aws.amazon.com/contact-us/)以寻求帮助。 | 否 |
| ValidationException | 无法解码请求。请发送有效的 SCEP 请求。 | 该服务无法解码和处理您的客户端发送的加密消息语法 (CMS) 请求。 | 如果您的客户在我们实施 SCEP 时遇到问题,请记下回复中的请求 ID (`x-amzn-requestid`) 并联系我们[AWS 支持](https://aws.amazon.com/contact-us/)。 | 否 |
| ValidationException | 无法使用从请求中派生的值对响应进行编码。请发送有效的 SCEP 请求。 | 该服务无法对 SCEP 响应进行编码。 | 当服务无法使用提供的请求者证书对 SCEP 响应消息进行正确编码时,通常会出现此问题。例如,如果请求者证书具有椭圆曲线数字签名算法 (ECDSA) 密钥,而 SCEP 连接器不支持该密钥,则可能会发生这种情况。 如果遇到此问题,请先将 MDM 或 SCEP 客户端配置为使用 RSA。如果您仍然无法解决问题,请记下回复中的请求编号 (`x-amzn-requestid`),并联系[AWS 支持](https://aws.amazon.com/contact-us/)寻求帮助。 | 否 |
| ValidationException | 不支持的算法: | 该请求由不支持的加密算法签名或加密。 | 我们的服务不支持某些过时且较弱的加密算法。这些信息通过`GetCACaps`请求传达给客户。但是,某些客户端可能不会使用此方法来检查支持的算法。 如果您的客户似乎与我们的服务支持的加密算法不兼容,请联系[AWS 支持](https://aws.amazon.com/contact-us/)以寻求帮助。 | 否 |
| ValidationException | 不支持的 PkiOperation 消息类型。 | 请求消息包含无效的`PkiOperation`消息类型,因此服务无法处理。 | 我们的服务仅支持 RFC 8894 中定义的 SCEP 协议消息类型的子集。具体而言,我们会识别和处理以下消息类型: CertRep、、 PKCSReq GetCert、getCRL 和。 CertPoll 我们通过 Get CACaps 方法向客户端传达支持的消息类型。不幸的是,有些客户可能没有使用这种方法,并且可能不符合我们的服务能力。 如果您的客户似乎与我们的服务支持的 SCEP 消息类型不兼容,请联系[AWS 支持](https://aws.amazon.com/contact-us/)。 | 否 |
| BadRequestException | 质询密码无效。 | 客户端提供的质询密码对于已联系的服务端点及其关联的连接器无效。质询密码是 SCEP 协议中定义的一项必需安全措施,以确保只有经过授权的客户端才能访问该服务。 | 请确保您的客户在其请求中提供了正确的质询密码。您可以在控制台或通过 [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)API 的连接器详细信息中找到。有关更多信息,请参阅 [步骤 2:将连接器详细信息复制到 MDM 系统中](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details)。 | 是 |
| BadRequestException | 证书签名请求中只需要一个质询密码。 | 客户端在其请求中提供了零个或多个质询密码。 | 请确保您的客户在其请求中提供了一个质询密码。您可以在控制台的连接器详细信息中或通过 [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)API 找到质询密码。有关更多信息,请参阅 [步骤 2:将连接器详细信息复制到 MDM 系统中](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details)。 | 是 |
| BadRequestException | 连接器无权访问 Azure。 | 微软 Intune 连接器通过微软 Intune 授权客户请求。这需要你授予 SCEP 连接器访问你的 Azure 资源的权限。 | 配置权限,详见中[第 1 步:授予使用你的 Microsoft Entra ID 应用程序的 AWS 私有 CA 权限第 1 步:授予使用你的 Microsoft Entra ID 应用程序的 AWS 私有 CA 权限](connector-for-scep-intune.md#connector-for-scep-intune-configure-pca)。 | 是 |
| BadRequestException | Azure 应用程序没有执行权限。 | 微软 Intune 连接器通过微软 Intune 授权客户请求。这需要你授予 SCEP 连接器访问你的 Azure 资源的权限。 | 配置权限,详见中[第 1 步:授予使用你的 Microsoft Entra ID 应用程序的 AWS 私有 CA 权限第 1 步:授予使用你的 Microsoft Entra ID 应用程序的 AWS 私有 CA 权限](connector-for-scep-intune.md#connector-for-scep-intune-configure-pca)。 | 是 |
| BadRequestException | 找不到 Azure 应用程序。 | 微软 Intune 连接器通过微软 Intune 授权客户请求。此错误表示你的 Microsoft Entra ID 中没有应用程序注册,或者你的连接器的 Intune 详细信息配置错误。 | 按照[为 SCEP 的 Connector 配置微软 Intune配置微软 Intune](connector-for-scep-intune.md)主题中的指导进行操作。 | 是 |
| BadRequestException | Intune 证书签名请求验证失败。原因: | 微软 Intune 连接器通过微软 Intune 授权客户请求。此错误消息表明 Intune 验证过程失败,并提供了相应的 Intune 错误代码。 | 按照[为 SCEP 的 Connector 配置微软 Intune配置微软 Intune](connector-for-scep-intune.md)主题中的指导进行操作。如果问题仍然存在,请联系 Microsoft Support。 | 是 |
| BadRequestException | 不支持的 PkiOperation 消息类型:。 | 请求消息包含无效的消息类型,因此服务无法处理。 | 我们的服务仅支持 RFC 8894 中定义的 SCEP 协议消息类型的子集。具体而言,我们会识别和处理以下消息类型: CertRep、、 PKCSReq GetCert、getCRL 和。 CertPoll 我们通过 Get CACaps 方法向客户端传达支持的消息类型。不幸的是,有些客户可能没有使用这种方法,并且可能不符合我们的服务能力。 如果您的客户似乎与我们的服务支持的 SCEP 消息类型不兼容,请联系[AWS 支持](https://aws.amazon.com/contact-us/)。 | 是 |
| BadRequestException | 不支持密钥算法或长度。 | 该服务不支持证书签名请求中包含的提供的公钥。 | 我们的服务仅支持最多 16,384 位的标准 RSA 密钥和最多 521 位的 ECDSA 密钥。如果您的客户需要使用当前不支持的算法,请联系[AWS 支持](https://aws.amazon.com/contact-us/)以寻求帮助。 | 是 |
## HTTP 401 未经授权
401 未授权响应状态代码指示客户端请求尚未完成,因为该请求缺少所请求资源的有效身份验证凭证。
| 响应标头 (x-amzn-) ErrorType | 错误消息 (x-amzn-) ErrorMessage | 根本原因 | 修复 | 包括 SCEP 的回应? |
| --- | --- | --- | --- | --- |
| AccessDeniedException | 连接器无权访问证书颁发机构。 | SCEP 的连接器无权访问连接器的关联私有 CA。 | 使用 AWS Resource Access Manager与 SCEP 连接器共享您的私有 CA。 | 否 |
| AccountDoesNotExistException | 该 AWS 账户不存在。 | SCEP 的连接器资源已不存在。 | 拥有目标资源的账户已被删除。如果这是错误的,请在关闭后的 90 天[AWS 支持](https://aws.amazon.com/contact-us/)内联系。 | 否 |
## 未找到 HTTP 404
HTTP 404 响应代码通常意味着找不到您要查找的资源。
| 响应标头 (x-amzn-ErrorType | 错误消息 (x-amzn-) ErrorMessage | 根本原因 | 修复 | 包括 SCEP 的回应? |
| --- | --- | --- | --- | --- |
| ResourceNotFoundException | 证书颁发机构不存在。 | 连接器的关联私有 CA 已被删除。 | 如果私有证书颁发机构 (CA) 被误删除,则可以在宽限期内将其恢复。有关更多信息,请参阅 [恢复私有 CA](PCARestoreCA.md)。 | 否 |
| ResourceNotFoundException | 带有端点的连接器不存在。 | 客户端设备试图连接到不属于任何现有连接器的 URL。 | 确保您的客户端为连接器提供了正确的端点。要查看连接器`Endpoint`,请调用 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)API 或在控制台的连接器详细信息页面中查看。 | 否 |
## HTTP 409 冲突
HTTP 409 冲突响应表示与连接器关联的私有 CA 自请求启动以来已更改。
| 响应标头 (x-amzn-) ErrorType | 错误消息 (x-amzn-) ErrorMessage | 根本原因 | 修复 | 包括 SCEP 的回应? |
| --- | --- | --- | --- | --- |
| ConflictException | 自请求发起以来,连接器已更改。 | 与连接器关联的私有 CA 已更新,从而触发连接器内部证书的轮换,该证书用于通过 SCEP 与客户端设备通信。 在部署新证书时,这种证书轮换可能会在更新期间导致临时问题。但是,应及时自动解决此错误。 | 几分钟后重试您的请求。如果问题仍未解决,请联系[AWS 支持](https://aws.amazon.com/contact-us/)寻求帮助。 | 否 |
## HTTP 429 请求太多
SCEP 的连接器在每个区域都有账户级别的配额。如果您超过了对连接器的请求限制,则您的请求将被拒绝,并出现 HTTP 429 错误。如果您需要增加配额,请参阅[AWS 私有证书颁发机构 终端节点和配额](https://docs.aws.amazon.com/general/latest/gr/pca.html)。
| 响应标头 (x-amzn-) ErrorType | 错误消息 (x-amzn-) ErrorMessage | 根本原因 | 修复 | 包括 SCEP 的回应? |
| --- | --- | --- | --- | --- |
| ThrottlingException | 由于请求限制而导致请求被拒绝。 | 已向此 Connector 发出的请求过多,导致某些请求被拒绝。 在部署新证书时,这种证书轮换可能会在更新期间导致临时问题。但是,应及时自动解决此错误。 | 如果您超过了对连接器的请求限制,则您的请求将被拒绝。如果您需要增加配额,请参阅[适用于 SCEP 端点和配额的连接器](https://docs.aws.amazon.com/general/latest/gr/pca.html)。 | 否 |
# 对 SCEP 客户端错误进行连接器故障排除
使用以下指南对与 SCEP 连接器相关的客户端错误进行故障排除。
| 消息示例 | 根本原因 | 解决方案 |
| --- | --- | --- |
| 不支持 ECDSA 密钥 | 连接器连接到使用 ECDSA 密钥而不是 RSA 的私有 CA。虽然此服务支持 ECDSA 密钥,但并非所有客户端设备都与该算法兼容。 | 考虑使用 RSA 加密的私有 CA 而不是 ECDSA。如果您创建使用 RSA 的私有 CA,则还需要创建一个新的连接器。一个连接器在其生命周期内只能绑定到一个私有 CA。 |
| 加密或签名证书不存在 | 根据 RFC 8894,SCEP 服务将中间 CA 证书返回给客户端。作为 SCEP 协议的一部分,客户端使用这些证书来执行加密和签名验证操作。 SCEP 连接器使用相同的证书进行加密和签名验证,这是一种常见的方法。但是,有些客户可能希望改为使用两个单独的证书。 | 如果您无法使用兼容的客户端,请联系[AWS 支持](https://aws.amazon.com/contact-us/)寻求帮助。 |