本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为 SCEP 设置连接器
本节中的步骤可帮助您开始使用适用于 SCEP 的连接器。它假设你已经创建了一个 AWS 账户。完成本页上的步骤后,您可以继续为 SCEP 创建连接器。
**Topics**
+ [步骤 1:创建 AWS Identity and Access Management 策略](#scep-prequisite-iam)
+ [步骤 2:创建私有 CA](#scep-prequisite-pca)
+ [步骤 3:使用创建资源共享 AWS Resource Access Manager](#scep-prequisite-ram-share-pca)
## 步骤 1:创建 AWS Identity and Access Management 策略
要为 SCEP 创建连接器,您需要创建一个 IAM 策略,授予 Connector for SCEP 创建和管理连接器所需的资源以及代表您颁发证书的能力。有关 IAM 的更多信息,请参阅[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 在 *IAM 用户指南*中。
以下示例是一个客户托管策略,您可以将其用于 Connector for SCEP。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "pca-connector-scep:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:PutPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "acm-pca:IssueCertificate",
"Resource": "*",
"Condition": {
"ArnLike": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*"
},
"ForAnyValue:StringEquals": {
"aws:CalledVia": "pca-connector-scep.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ram:CreateResourceShare",
"ram:GetResourcePolicies",
"ram:GetResourceShareAssociations",
"ram:GetResourceShares",
"ram:ListPrincipals",
"ram:ListResources",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes"
],
"Resource": "*"
}
]
}
```
------
## 步骤 2:创建私有 CA
要将连接器用于 SCEP,您需要将私有 CA 与该连接器关联起来。 AWS 私有证书颁发机构 由于 SCEP 协议中存在固有的安全漏洞,我们建议您使用仅用于连接器的私有 CA。
私有 CA 必须满足以下要求:
+ 它必须处于活动状态并使用通用操作模式。
+ 您必须拥有私有 CA。您不能使用通过跨账户共享与您共享的私有 CA。
将私有 CA 配置为与 SCEP 连接器一起使用时,请注意以下注意事项:
+ **DNS 名称**限制-考虑使用 DNS 名称限制来控制为你的 SCEP 设备颁发的证书中允许或禁止哪些域。有关更多信息,请参阅[中的如何强制执行 DNS 名称限制 AWS 私有证书颁发机构](https://aws.amazon.com/blogs/security/how-to-enforce-dns-name-constraints-in-aws-private-ca/)。
+ **撤销** — CRLs 在您的私有 CA 上启用 OCSP 或以允许撤销。有关更多信息,请参阅 [规划您的 AWS 私有 CA 证书吊销方法](revocation-setup.md)。
+ **PII** — 我们建议您不要在 CA 证书中添加个人身份信息 (PII) 或其他机密或敏感信息。如果出现安全漏洞,这有助于限制敏感信息的泄露。
+ 将@@ **根证书存储在信任存储**中 — 将根 CA 证书存储在设备信任存储中,以便您可以验证证书和的返回值[GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html)。有关与之相关的信任存储的信息 AWS 私有 CA,请参阅[根 CA](PcaTerms.md#terms-rootca)。
有关如何创建私有 CA 的信息,请参阅[在中创建私有 CA AWS 私有 CA](create-CA.md)。
## 步骤 3:使用创建资源共享 AWS Resource Access Manager
如果您使用 AWS Command Line Interface、 AWS SDK 或适用于 SCEP 的连接器 API 以编程方式使用适用于 SCEP 的连接器,则需要使用 AWS Resource Access Manager 服务主体共享与适用于 SCEP 的连接器共享您的私有 CA。这为 SCEP 的 Connector 提供了对您的私有 CA 的共享访问权限。当您在 AWS 控制台中创建连接器时,我们会自动为您创建资源共享。有关资源共享的信息,请参阅《*AWS RAM 用户指南》*中的[创建资源共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)。
要使用创建资源共享 AWS CLI,可以使用 AWS RAM **create-resource-share**命令。以下命令创建资源共享。将要共享的私有 CA 的 ARN 指定为的值。*resource-arns*
```
$ aws ram create-resource-share \
--region us-east-1 \
--name MyPcaConnectorScepResourceShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \
--resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID \
--principals pca-connector-scep.amazonaws.com \
--sources account
```
调用的服务主体`CreateConnector`拥有私有 CA 的证书颁发权限。要防止使用 Connector for SCEP 的服务主体对您的 AWS 私有 CA 资源拥有一般访问权限,请使用限制他们的权限。`CalledVia`