为适用于 SCEP 的连接器配置 MDM 系统 - AWS Private Certificate Authority
通用连接器AWS Private CA 适用于微软 Intune 的 SCEP 连接器

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为适用于 SCEP 的连接器配置 MDM 系统

简单证书注册协议 (SCEP) 是用于证书注册和续订的标准协议。SCEP 连接器是一款基于 RFC 8894 的 SCEP 服务器,可自动 AWS Private Certificate Authority 向你的 SCEP 客户端颁发证书。创建连接器时,适用于 SCEP 的连接器会为 SCEP 客户端提供一个 HTTPS 端点,供其请求证书。客户端使用质询密码进行身份验证,该密码包含在向服务提出的证书签名请求 (CSR) 中。你可以将 Connector for SCEP 与流行的移动设备管理 (MDM) 系统(包括微软 Intune、Omnissa Workspace ONE 和 Jamf Pro)一起使用来注册移动设备。它旨在与任何支持 SCEP 的客户端或端点配合使用。

SCEP 连接器提供两种类型的连接器——通用连接器和适用于 Microsoft Intune 的 SCEP 连接器。以下各节介绍它们的工作原理,以及如何配置您的 MDM 系统以使用它们。

通用连接器

通用连接器旨在与支持 SCEP 的移动设备端点配合使用,但具有专用连接器的 Microsoft Intune 除外。使用通用连接器,例如 Jamf Pro 或 Omnissa Workspace ONE,您可以管理 SCEP 挑战密码。下图以移动设备管理 (MDM) 系统为例,但同样的功能适用于其他支持 SCEP 的系统或设备。

描述 SCEP 通用连接器的连接器的工作原理。

  1. MDM 系统(或其他设备或系统)向移动客户端发送 SCEP 配置文件。SCEP 配置文件包含定义证书配置文件的配置参数,例如证书有效期、质询密码以及与证书颁发相关的其他信息。

  2. 移动客户端请求证书,还会发送包含质询密码的证书签名请求 (CSR)。

  3. SCEP 连接器验证质询密码。如果证书有效,则该服务将 AWS Private CA 代表移动客户端请求证书。

  4. AWS Private CA 颁发证书并将其发送到连接器进行 SCEP。

  5. SCEP 连接器将颁发的证书发送到移动客户端。

AWS Private CA 适用于微软 Intune 的 SCEP 连接器

AWS Private CA 适用于微软 Intune 的 SCEP 连接器专为与微软 Intune 配合使用而设计。使用适用于 Microsoft Intune 的 SCEP 连接器类型,你将使用 Microsoft Intune 来管理你的 SCEP 挑战密码。有关在 Microsoft Intune 中使用适用于 SCEP 的 Connector 的更多信息,请参阅。为 SCEP 的 Connector 配置微软 Intune

要在微软 Intune 上使用 Connector for SCEP,你必须使用微软 Intune API 启用特定功能,并拥有有效的微软 Intune 许可证。你还应该查看 Microsoft Intune® 应用程序保护政策

适用于 Microsoft Intune 的 SCEP 连接器的工作原理。

  1. Microsoft Intune 向移动客户端发送 SCEP 配置文件。该配置文件包含一个加密的质询密码,移动客户端将其放入 CSR 中。

  2. 移动客户端请求证书并将 CSR 发送给 Connector 以获取 SCEP。

  3. SCEP 连接器将 CSR 发送给 Microsoft Intune 进行授权。

  4. 微软 Intune 对 CSR 中的质询密码进行解密。如果证书有效,Microsoft Intune 会向 Connector 发送批准,让 SCEP 向移动客户端颁发证书。

  5. SCEP 连接器 AWS Private CA 代表移动客户端请求证书。

  6. AWS Private CA 颁发证书并将其发送到连接器进行 SCEP。

  7. SCEP 连接器将颁发的证书发送到移动客户端。

主题