本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解 Connector for SCEP 的考量和限制
<a name="c4scep-considerations-limitations"></a>

使用 Connector for SCEP 時，請記住下列考量和限制。

## 考量事項
<a name="c4scep-considerations"></a>

**CA 操作模式**

您只能將 Connector for SCEP 與使用一般用途操作模式的私有 CAs 搭配使用。Connector for SCEP 預設為發行有效期間為一年的憑證。使用短期憑證模式的私有 CA 不支援發行有效期間超過七天的憑證。如需操作模式的相關資訊，請參閱 [了解 AWS 私有 CA CA 模式](short-lived-certificates.md)。

**挑戰密碼**
+ 非常仔細地分發您的挑戰密碼，並僅與高度信任的個人和用戶端共用。單一挑戰密碼可用於向任何主體和 SANs 發出任何憑證，這會造成安全風險。
+ 如果使用一般用途連接器，建議您經常手動輪換挑戰密碼。

**RFC 8894 的一致性**

Connector for SCEP 透過提供 HTTPS 端點而非 HTTP 端點，偏離 [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) 通訊協定。

**CSRs**
+ 如果傳送至 Connector for SCEP 的憑證簽署請求 (CSR) 不包含擴充金鑰使用 (EKU) 延伸，我們會將 EKU 值設定為 `clientAuthentication`。如需詳細資訊，請參閱 [4.2.1.12。RFC 5280 中的擴充金鑰用量](https://www.rfc-editor.org/rfc/rfc5280#section-4.2.1.12:~:text=MAX)%0A%0A4.2.1.12.-,Extended%20Key%20Usage,-This%20extension%20indicates)。
+ 我們在 CSRs 中支援 `ValidityPeriod`和 `ValidityPeriodUnits`自訂屬性。如果您的 CSR 不包含 `ValidityPeriod`，我們會發行有效期為一年的憑證。請記住，您可能無法在 MDM 系統中設定這些屬性。但是，如果您可以設定它們，我們會支援它們。如需這些屬性的詳細資訊，請參閱 [szENROLLMENT\_NAME\_VALUE\_PAIR](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wcce/92f07a54-2889-45e3-afd0-94b60daa80ec)。

**端點共用**  
僅將連接器的端點分發給信任的一方。將端點視為秘密，因為任何可以找到您唯一完整網域名稱和路徑的人都可以擷取您的 CA 憑證。

## 限制
<a name="c4scep-limitations"></a>

下列限制適用於 Connector for SCEP。

**動態挑戰密碼**  
您只能使用一般用途連接器建立靜態挑戰密碼。若要搭配一般用途連接器使用動態密碼，您必須建置自己的輪換機制，以使用連接器的靜態密碼。Connector for SCEP for Microsoft Intune 連接器類型支援您使用 Microsoft Intune 管理的動態密碼。

**HTTP**  
Connector for SCEP 僅支援 HTTPS，並建立 HTTP 呼叫的重新導向。如果您的系統依賴 HTTP，請確定它可以容納 Connector for SCEP 提供的 HTTP 重新導向。

**共用私有 CAs**  
您只能將 Connector for SCEP 與您作為擁有者的私有 CAs搭配使用。