View a markdown version of this page

Connector for SCEP 入門 - AWS 私有憑證授權單位
開始之前步驟 1:建立連接器步驟 2:將連接器詳細資訊複製到 MDM 系統

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Connector for SCEP 入門

使用 AWS 私有憑證授權單位 Connector for SCEP,您可以從私有 CA 向啟用 SCEP 的裝置和行動裝置管理 (MDM) 系統發行憑證。當您建立連接器時, 會 AWS 私有憑證授權單位 為您建立 SCEP URL 來請求憑證,並為您提供可用來整合到 MDM 系統的資訊。

若要發行憑證,您必須建立 AWS 私有憑證授權單位 私有 CA、建立連接器,然後設定已啟用 SCEP 的 MDM 系統和裝置,以從連接器請求憑證。

開始之前

下列教學課程會引導您完成建立 SCEP 連接器的程序。

若要遵循本教學課程,您需要私有 CA 和啟用 SCEP 的裝置。您也必須先滿足 設定適用於 SCEP 的 Connector區段中列出的先決條件。

下列程序說明如何使用 AWS 主控台建立連接器。

步驟 1:建立連接器

您將建立一般用途的連接器或適用於 Microsoft Intune 的 Connector for SCEP。一般用途連接器專為與啟用 SCEP 的端點搭配使用而設計,您可以管理 SCEP 挑戰密碼。Connector for SCEP for Microsoft Intune 適用於 Microsoft Intune,您可以使用 Microsoft Intune 管理挑戰密碼。

General-purpose
建立用於一般用途的連接器

登入 AWS 您的帳戶,並在 開啟 Connector for SCEP 主控台https://console.aws.amazon.com/pca-connector-scep/home

  1. 選擇 Create connector (建立連接器)

  2. 建立連接器頁面中,選擇性地在名稱標籤欄位中為連接器提供易記的名稱。名稱將顯示在您的連接器清單中。如果需要,您可以選取新增更多標籤,將更多標籤新增至連接器。標籤是您指派給 AWS 資源的標籤。每個標籤皆包含索引鍵與選用值。您可以使用標籤來搜尋和篩選資源或追蹤 AWS 成本。

  3. 連接器類型下,選擇一般用途

  4. 私有 CA 下,選擇要與此連接器搭配使用的私有 CA。或者,選取建立私有 CA 來建立新的 CA。由於 SCEP 通訊協定中的固有漏洞,我們建議使用此連接器專用的私有 CA。如果您建立了新的 CA,當您完成在其中建立 CA 時 AWS 私有 CA,請返回 Connector for SCEP 主控台並重新整理私有 CAs清單。您的新私有 CA 應該可供選取。

  5. 挑戰密碼下,選取自動產生挑戰密碼。建立此連接器時,我們會為您產生靜態挑戰密碼。

  6. 連線下,選擇有以建立可透過公有網際網路存取的連接器。或者,選取私有並指定 VPC 端點,以限制此連接器只能透過該特定 VPC 端點存取。

  7. 選取建立連接器

Microsoft Intune
建立 Connector for SCEP for Microsoft Intune

登入 AWS 您的帳戶,並在 開啟 Connector for SCEP 主控台https://console.aws.amazon.com/pca-connector-scep/home

  1. 選擇 Create connector (建立連接器)

  2. 建立連接器頁面上,選擇性地在名稱標籤欄位中為連接器提供易記的名稱。名稱將顯示在您的連接器清單中。如果需要,您可以選取新增更多標籤,將更多標籤新增至連接器。標籤是您指派給 AWS 資源的標籤。每個標籤皆包含索引鍵與選用值。您可以使用標籤來搜尋和篩選資源或追蹤 AWS 成本。

  3. 連接器類型下,選擇 Microsoft Intune

    1. 針對應用程式 (用戶端) ID,輸入您 Microsoft Entra ID 應用程式註冊中的應用程式 (用戶端) ID。如需搭配 Connector for SCEP 使用 Microsoft Intune 的詳細資訊,請參閱 設定 Connector for SCEP 的 MDM 系統

    2. 目錄 (租戶) ID 或主要網域中,輸入您 Microsoft Entra ID 應用程式註冊中的目錄 (租戶) ID 或主要網域。

  4. 私有 CA 下,選擇要與此連接器搭配使用的私有 CA。或者,選取建立私有 CA 來建立新的 CA。由於 SCEP 通訊協定中的固有漏洞,我們建議使用此連接器專用的私有 CA。如果您建立了新的 CA,當您完成在其中建立 CA 時 AWS 私有 CA,請返回 Connector for SCEP 主控台並重新整理私有 CAs清單。您的新私有 CA 應該可供選取。

  5. 連線下,選擇有以建立可透過公有網際網路存取的連接器。或者,選取私有並指定 VPC 端點,以限制此連接器只能透過該特定 VPC 端點存取。

  6. 選取建立連接器

步驟 2:將連接器詳細資訊複製到 MDM 系統

建立連接器後,您需要將下列詳細資訊從連接器複製到 MDM 系統。若要使用主控台檢視連接器的詳細資訊,請從 Connectors for SCEP 主控台頁面的清單中選擇連接器

  • SCEP URL - 這是連接器的端點,SCEP 用戶端將從中請求憑證。請注意,僅將此端點提供給信任的實體。

  • (一般用途) 挑戰密碼 - 在挑戰密碼下,選取您在上述程序中自動產生的密碼,然後選取檢視密碼以檢視密碼。若要建立額外的密碼,請選取建立密碼。請小心將密碼分發給高度信任的個人和用戶端。單一挑戰密碼可用於向任何主體和 SANs 發行任何憑證,因此應謹慎處理。

  • (Microsoft Intune) Open ID 值 - 如果您要與 Microsoft Intune 整合,您必須將 Open ID 發行者Open ID 主體Open ID 對象複製到您 Microsoft Entra 應用程式註冊的 OpenID Connect (OIDC) 憑證。如需詳細資訊,請參閱設定 Connector for SCEP 的 MDM 系統