Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Conozca las consideraciones y limitaciones de Connector for SCEP
<a name="c4scep-considerations-limitations"></a>

Tenga en cuenta las siguientes consideraciones y limitaciones al utilizar Connector for SCEP.

## Consideraciones
<a name="c4scep-considerations"></a>

**Modos de funcionamiento de CA**

Solo puede utilizar Connector for SCEP con entidades de certificación privadas que utilicen un modo de funcionamiento de uso general. Connector for SCEP emite de forma predeterminada certificados con un período de validez de un año. Una entidad emisora de certificados privada que utilice un modo de certificación de corta duración no admite la emisión de certificados con un período de validez superior a siete días. Para obtener información sobre los modos de funcionamiento, consulte[AWS Private CA Comprenda los modos de CA](short-lived-certificates.md).

**Impugnar contraseñas**
+ Distribuya sus contraseñas confidenciales con mucho cuidado y compártalas solo con personas y clientes de gran confianza. Se puede utilizar una única contraseña de seguridad para emitir cualquier certificado, con cualquier asunto y SAN, lo que supone un riesgo para la seguridad.
+ Si utiliza un conector de uso general, le recomendamos que cambie manualmente las contraseñas de desafío con frecuencia.

**Cumple con el RFC 8894**

El conector para SCEP se desvía del protocolo [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) al proporcionar puntos de enlace HTTPS en lugar de puntos de enlace HTTP.

**CSR**
+ Si una solicitud de firma de certificado (CSR) que se envía a Connector for SCEP no incluye la extensión de uso extendido de claves (EKU), estableceremos el valor de EKU en. `clientAuthentication` [Para obtener más información, consulte 4.2.1.12. Uso extendido de claves](https://www.rfc-editor.org/rfc/rfc5280#section-4.2.1.12:~:text=MAX)%0A%0A4.2.1.12.-,Extended%20Key%20Usage,-This%20extension%20indicates) en el RFC 5280.
+ Admitimos `ValidityPeriod` y `ValidityPeriodUnits` personalizamos los atributos en las CSR. Si su CSR no incluye un certificado`ValidityPeriod`, emitimos un certificado que tiene un período de validez de un año. Tenga en cuenta que es posible que no pueda establecer estos atributos en su sistema MDM. Pero si puede configurarlos, los admitimos. Para obtener información sobre estos atributos, consulte [SZEnrollment\_NAME\_VALUE\_PAIR](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wcce/92f07a54-2889-45e3-afd0-94b60daa80ec).

**Uso compartido de terminales**  
Distribuya los puntos finales de un conector únicamente a partes de confianza. Trate los puntos finales como secretos, ya que cualquier persona que pueda encontrar su nombre de dominio y su ruta únicos y totalmente cualificados podrá recuperar su certificado de CA.

## Limitaciones
<a name="c4scep-limitations"></a>

Las siguientes limitaciones se aplican a Connector for SCEP.

**Contraseñas de desafío dinámico**  
Solo puede crear contraseñas de desafío estáticas con conectores de uso general. Para utilizar contraseñas dinámicas con un conector de uso general, debe crear su propio mecanismo de rotación que utilice las contraseñas estáticas del conector. Los tipos de conectores Connector for SCEP para Microsoft Intune admiten contraseñas dinámicas, que se administran mediante Microsoft Intune.

**HTTP**  
El conector para SCEP solo admite HTTPS y crea redireccionamientos para las llamadas HTTP. Si su sistema depende de HTTP, asegúrese de que puede admitir los redireccionamientos HTTP que proporciona Connector for SCEP.

**CA privadas compartidas**  
Solo puede utilizar Connector for SCEP con las CA privadas de las que sea propietario.