本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定適用於 SCEP 的 Connector
本節中的程序可協助您開始使用 Connector for SCEP。其假設您已建立 AWS 帳戶。完成此頁面的步驟後,您可以繼續為 SCEP 建立連接器。
**Topics**
+ [步驟 1:建立 AWS Identity and Access Management 政策](#scep-prequisite-iam)
+ [步驟 2:建立私有 CA](#scep-prequisite-pca)
+ [步驟 3:使用 建立資源共享 AWS Resource Access Manager](#scep-prequisite-ram-share-pca)
## 步驟 1:建立 AWS Identity and Access Management 政策
若要建立 SCEP 連接器,您需要建立 IAM 政策,授予 Connector for SCEP 建立和管理連接器所需資源的能力,並代表您發行憑證。如需 IAM 的詳細資訊,請參閱《[IAM 使用者指南》中的什麼是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。 **
下列範例是客戶受管政策,可用於 Connector for SCEP。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "pca-connector-scep:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:PutPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "acm-pca:IssueCertificate",
"Resource": "*",
"Condition": {
"ArnLike": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*"
},
"ForAnyValue:StringEquals": {
"aws:CalledVia": "pca-connector-scep.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ram:CreateResourceShare",
"ram:GetResourcePolicies",
"ram:GetResourceShareAssociations",
"ram:GetResourceShares",
"ram:ListPrincipals",
"ram:ListResources",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes"
],
"Resource": "*"
}
]
}
```
------
## 步驟 2:建立私有 CA
若要使用 Connector for SCEP,您需要將私有 CA 從 關聯 AWS 私有憑證授權單位 至連接器。由於 SCEP 通訊協定中存在固有的安全漏洞,我們建議您使用僅適用於連接器的私有 CA。
私有 CA 必須符合下列要求:
+ 它必須處於作用中狀態,並使用一般用途操作模式。
+ 您必須擁有私有 CA。您無法使用透過跨帳戶共用與您共用的私有 CA。
設定私有 CA 以搭配 Connector for SCEP 使用時,請注意下列考量:
+ **DNS 名稱限制** – 考慮使用 DNS 名稱限制來控制針對 SCEP 裝置發行的憑證中允許或禁止哪些網域。如需詳細資訊,請參閱[如何在 中強制執行 DNS 名稱限制 AWS 私有憑證授權單位](https://aws.amazon.com/blogs/security/how-to-enforce-dns-name-constraints-in-aws-private-ca/)。
+ **撤銷** – 在您的私有 CA 上啟用 OCSP 或 CRLs 以允許撤銷。如需詳細資訊,請參閱[規劃您的 AWS 私有 CA 憑證撤銷方法](revocation-setup.md)。
+ **PII** – 我們建議您不要在 CA 憑證中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。如果發生安全漏洞,這有助於限制敏感資訊的暴露。
+ 將**根憑證存放於信任存放**區 – 將根 CA 憑證存放於您的裝置信任存放區,以便您可以驗證憑證和 [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html) 的傳回值。如需與信任存放區相關的資訊 AWS 私有 CA,請參閱 [根 CA](PcaTerms.md#terms-rootca)。
如需如何建立私有 CA 的資訊,請參閱 [在 中建立私有 CA AWS 私有 CA](create-CA.md)。
## 步驟 3:使用 建立資源共享 AWS Resource Access Manager
如果您以程式設計方式使用 Connector for SCEP AWS Command Line Interface API、 AWS SDK 或 Connector for SCEP API,則需要使用 AWS Resource Access Manager 服務主體共用與 Connector for SCEP 共用私有 CA。這可讓 Connector for SCEP 共用存取您的私有 CA。當您在 AWS 主控台中建立連接器時,我們會自動為您建立資源共享。如需資源共用的資訊,請參閱*AWS RAM 《 使用者指南*》中的[建立資源共用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)。
若要使用 建立資源共享 AWS CLI,您可以使用 AWS RAM **create-resource-share**命令。下列命令會建立資源共享。指定您要共用的私有 CA ARN,做為 *resource-arns* 的值。
```
$ aws ram create-resource-share \
--region us-east-1 \
--name MyPcaConnectorScepResourceShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \
--resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID \
--principals pca-connector-scep.amazonaws.com \
--sources account
```
呼叫 的服務主體`CreateConnector`具有私有 CA 的憑證發行許可。若要防止使用 Connector for SCEP 的服務主體能夠一般存取您的 AWS 私有 CA 資源,請使用 限制其許可`CalledVia`。