本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 私有 CA 適用於 SCEP 的連接器
Connector for Simple Certificate Enrollment Protocol (SCEP) AWS 私有憑證授權單位 連結至已啟用 SCEP 的行動裝置和聯網設備。使用 Connector for SCEP,您可以使用 AWS 私有 CA 來發行憑證並註冊 SCEP 裝置。Connector for SCEP 可與熱門的行動裝置管理 (MDM) 系統搭配使用,旨在與支援 SCEP 的用戶端或端點搭配使用。
**Topics**
+ [功能](#features-c4scep)
+ [如何開始使用 Connector for SCEP](#how-to-gs-c4scep)
+ [相關服務](#related-services-c4scep)
+ [適用於 SCEP 的 Access Connector](#accessing-c4scep)
+ [定價](#pricing-c4scep)
+ [適用於 SCEP 概念的連接器](c4scep-concepts.md)
+ [了解 Connector for SCEP 的考量和限制](c4scep-considerations-limitations.md)
+ [設定適用於 SCEP 的 Connector](connector-for-scep-setting-up.md)
+ [Connector for SCEP 入門](connector-for-scep-getting-started.md)
+ [設定 Connector for SCEP 的 MDM 系統](using-connector-for-scep-with-mdm.md)
+ [Connector for SCEP 中的安全性](c4scep-security.md)
+ [Monitor Connector for SCEP](c4scep-monitoring-overview.md)
+ [故障診斷 AWS 私有憑證授權單位 Connector for SCEP 問題](troubleshoot-connector-scep.md)
## 功能
**支援 SCEP 通訊協定** - SCEP 是一種廣泛採用的通訊協定,可從憑證授權單位 (CA) 取得數位身分憑證,並將其分發至行動裝置和聯網裝置。您可以使用 Connector for SCEP 來協助您使用 SCEP 註冊端點。
**行動裝置註冊** - 您可以將 Connector for SCEP 與熱門 MDM 系統搭配使用,包括 Microsoft Intune 和 Jamf Pro。
**大規模發行憑證** - 在您設定已啟用 SCEP 的裝置透過連接器的 SCEP 端點請求憑證後,您的用戶端可以自動從中請求憑證 AWS 私有 CA。
## 如何開始使用 Connector for SCEP
若要開始使用,請從 [Connector for SCEP 管理主控台](https://console.aws.amazon.com/pca-connector-scep/home)啟動引導式精靈,協助您建立連接器,並指定要與連接器搭配使用的私有 CA。完成這些步驟後,Connector for SCEP 會提供端點和其他組態參數,供您輸入 MDM 系統或聯網設備。設定 MDM 系統或聯網設備之後,您的用戶端會自動向 請求憑證 AWS 私有 CA。若要進一步了解如何開始使用 Connector for SCEP,請參閱 [Connector for SCEP 入門](connector-for-scep-getting-started.md)。
## 相關服務
Connector for SCEP 與下列 AWS 服務相關。
+ **AWS 私有憑證授權單位** - AWS 私有 CA 為您提供高可用性的私有 CA 服務,無需預付投資和持續維護操作自有私有 CA 的成本。
+ **AWS 私有 CA Connector for Active Directory** - Connector for AD 會連結您的 Active Directory (AD) AWS 私有 CA。連接器會代理將憑證從 交換 AWS 私有 CA 至 AD 管理的使用者和機器。
## 適用於 SCEP 的 Access Connector
您可以使用下列任一界面來建立、存取和管理 Connector for SCEP 連接器:
+ **AWS 管理主控台** - 提供可用來存取 Connector for SCEP 的 Web 界面。請參閱 [Connector for SCEP 管理主控台](https://console.aws.amazon.com/pca-connector-scep/home)。
+ **AWS Command Line Interface** - 為廣泛的 AWS 服務提供命令,包括 Connector for SCEP。Windows、macOS 和 Linux AWS CLI 支援 。如需詳細資訊,請參閱[AWS Command Line Interface](https://aws.amazon.com/cli/)。
+ **AWS SDKs** - 提供語言特定的 APIs,並處理許多連線詳細資訊,例如計算簽章、處理請求重試和錯誤處理。如需詳細資訊,請參閱[AWS Command Line Interface](https://aws.amazon.com/developer/tools/#SDKs)。
+ **Connector for SCEP API** - 提供您使用 HTTPS 請求呼叫的低階 API 動作。使用 Connector for SCEP API 是存取服務最直接的方式。不過,Connector for SCEP API 需要您的應用程式處理低階詳細資訊,例如產生雜湊來簽署請求,以及錯誤處理。如需詳細資訊,請參閱 [Connector for SCEP API 參考](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/Welcome.html)。
## 定價
Connector for SCEP 是 的一項功能 AWS 私有 CA ,無需額外費用。您只需支付用於建立和更新連接器 AWS 私有憑證授權單位 的操作和憑證。
如需最新的 AWS 私有 CA 定價資訊,請參閱 [AWS 私有憑證授權單位 定價](https://aws.amazon.com/private-ca/pricing/)。您也可以使用[AWS 定價計算器](https://calculator.aws/#/createCalculator/certificateManager)來預估成本。
# 適用於 SCEP 概念的連接器
Connector for SCEP 是 的附加元件功能 AWS 私有憑證授權單位。
以下是 Connector for SCEP 的重要概念:
**憑證簽署請求 (CSR)**
提供給 CA 的必要資訊,以便發行數位憑證。此資訊包含公有金鑰和身分。
**挑戰密碼**
SCEP 通訊協定使用挑戰密碼來驗證請求,然後再從 CA 發出憑證。Connector for SCEP 會根據連接器類型處理 SCEP 挑戰密碼。如需詳細資訊,請參閱[設定 Connector for SCEP 的 MDM 系統設定 MDM 系統](using-connector-for-scep-with-mdm.md)。
**憑證撤銷**
憑證撤銷是在其過期日期之前撤銷已發行憑證的程序。您可以在 API AWS Command Line Interface、 AWS SDK 或 中呼叫 [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html),撤銷與連接器相關聯的私有 CA 憑證 AWS CloudFormation。
**適用於 SCEP 的連接器**
SCEP 的連接器 AWS 私有 CA 會連結到已啟用 SCEP 的裝置。
**行動裝置管理**
行動裝置管理 (MDM) 允許 IT 管理員控制、保護和強制執行智慧型手機、平板電腦和其他端點或裝置上的政策。許多 MDM 系統為 SCEP 型憑證註冊提供內建整合。
**SCEP**
SCEP 是自動分發憑證的標準化通訊協定 ([RFC 8894](https://datatracker.ietf.org/doc/html/rfc8894))。通訊協定為裝置提供端點,以向 CA 請求憑證。SCEP 使用挑戰密碼來授權向裝置發行憑證。SCEP 通常適用於行動裝置管理 (MDM) 系統和聯網設備。MDM 解決方案可讓 IT 管理員控制、保護和強制執行智慧型手機、平板電腦和其他實體上的政策,例如 Apple 工作站。大多數 MDM 解決方案支援 SCEP,例如 Microsoft Intune、Apple MDM 和 Jamf Pro。大多數聯網設備,例如路由器、負載平衡器、Wi-Fi 中樞、VPN 裝置和防火牆,都會使用 SCEP 進行自動憑證註冊。
**SCEP 設定檔**
SCEP 設定檔包含用於定義憑證設定檔的組態參數。這包括憑證有效期間、金鑰大小、SCEP 組態名稱、挑戰密碼、失敗嘗試重試次數和重試間隔,以及其他與憑證發行相關的資訊。MDM 系統和憑證管理平台通常會將 SCEP 設定檔傳送至請求憑證以進行身分驗證的用戶端。
# 了解 Connector for SCEP 的考量和限制
使用 Connector for SCEP 時,請注意下列考量和限制。
## 考量事項
**CA 操作模式**
您只能將 Connector for SCEP 與使用一般用途操作模式的私有 CAs 搭配使用。Connector for SCEP 預設為發行有效期間為一年的憑證。使用短期憑證模式的私有 CA 不支援發行有效期間超過七天的憑證。如需操作模式的相關資訊,請參閱 [了解 AWS 私有 CA CA 模式](short-lived-certificates.md)。
**挑戰密碼**
+ 非常仔細地分發您的挑戰密碼,並僅與高度信任的個人和用戶端共用。單一挑戰密碼可用於向任何主體和 SANs 發行任何憑證,這會造成安全風險。
+ 如果使用一般用途連接器,建議您經常手動輪換挑戰密碼。
**RFC 8894 的一致性**
Connector for SCEP 透過提供 HTTPS 端點而非 HTTP 端點,偏離 [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) 通訊協定。
**CSRs**
+ 如果傳送至 Connector for SCEP 的憑證簽署請求 (CSR) 不包含擴充金鑰用量 (EKU) 延伸,我們會將 EKU 值設定為 `clientAuthentication`。如需詳細資訊,請參閱 [4.2.1.12。RFC 5280 中的擴充金鑰用量](https://www.rfc-editor.org/rfc/rfc5280#section-4.2.1.12:~:text=MAX)%0A%0A4.2.1.12.-,Extended%20Key%20Usage,-This%20extension%20indicates)。
+ 我們在 CSRs 中支援 `ValidityPeriod`和 `ValidityPeriodUnits` 自訂屬性。如果您的 CSR 不包含 `ValidityPeriod`,我們會發行有效期為一年的憑證。請記住,您可能無法在 MDM 系統中設定這些屬性。但是,如果您可以設定它們,我們會支援它們。如需這些屬性的詳細資訊,請參閱 [szENROLLMENT\$1NAME\$1VALUE\$1PAIR](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wcce/92f07a54-2889-45e3-afd0-94b60daa80ec)。
**端點共用**
僅將連接器的端點分發給信任的對象。將端點視為秘密,因為任何可以找到您唯一完整網域名稱和路徑的人都可以擷取您的 CA 憑證。
## 限制
下列限制適用於 Connector for SCEP。
**動態挑戰密碼**
您只能使用一般用途連接器建立靜態挑戰密碼。若要搭配一般用途連接器使用動態密碼,您必須建置自己的輪換機制,以使用連接器的靜態密碼。Connector for SCEP for Microsoft Intune 連接器類型支援您使用 Microsoft Intune 管理的動態密碼。
**HTTP**
Connector for SCEP 僅支援 HTTPS,並建立 HTTP 呼叫的重新導向。如果您的系統依賴 HTTP,請確定它可以容納 Connector for SCEP 提供的 HTTP 重新導向。
**共用私有 CAs**
您只能將 Connector for SCEP 與您作為擁有者的私有 CAs搭配使用。
# 設定適用於 SCEP 的 Connector
本節中的程序可協助您開始使用 Connector for SCEP。其假設您已建立 AWS 帳戶。完成此頁面的步驟後,您可以繼續為 SCEP 建立連接器。
**Topics**
+ [步驟 1:建立 AWS Identity and Access Management 政策](#scep-prequisite-iam)
+ [步驟 2:建立私有 CA](#scep-prequisite-pca)
+ [步驟 3:使用 建立資源共享 AWS Resource Access Manager](#scep-prequisite-ram-share-pca)
## 步驟 1:建立 AWS Identity and Access Management 政策
若要建立 SCEP 連接器,您需要建立 IAM 政策,授予 Connector for SCEP 建立和管理連接器所需資源的能力,並代表您發行憑證。如需 IAM 的詳細資訊,請參閱《[IAM 使用者指南》中的什麼是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。 **
下列範例是客戶受管政策,可用於 Connector for SCEP。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "pca-connector-scep:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:PutPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "acm-pca:IssueCertificate",
"Resource": "*",
"Condition": {
"ArnLike": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*"
},
"ForAnyValue:StringEquals": {
"aws:CalledVia": "pca-connector-scep.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ram:CreateResourceShare",
"ram:GetResourcePolicies",
"ram:GetResourceShareAssociations",
"ram:GetResourceShares",
"ram:ListPrincipals",
"ram:ListResources",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes"
],
"Resource": "*"
}
]
}
```
------
## 步驟 2:建立私有 CA
若要使用 Connector for SCEP,您需要將私有 CA 從 關聯 AWS 私有憑證授權單位 至連接器。由於 SCEP 通訊協定中存在固有的安全漏洞,我們建議您使用僅適用於連接器的私有 CA。
私有 CA 必須符合下列要求:
+ 它必須處於作用中狀態,並使用一般用途操作模式。
+ 您必須擁有私有 CA。您無法使用透過跨帳戶共用與您共用的私有 CA。
設定私有 CA 以搭配 Connector for SCEP 使用時,請注意下列考量:
+ **DNS 名稱限制** – 考慮使用 DNS 名稱限制來控制針對 SCEP 裝置發行的憑證中允許或禁止哪些網域。如需詳細資訊,請參閱[如何在 中強制執行 DNS 名稱限制 AWS 私有憑證授權單位](https://aws.amazon.com/blogs/security/how-to-enforce-dns-name-constraints-in-aws-private-ca/)。
+ **撤銷** – 在您的私有 CA 上啟用 OCSP 或 CRLs 以允許撤銷。如需詳細資訊,請參閱[規劃您的 AWS 私有 CA 憑證撤銷方法](revocation-setup.md)。
+ **PII** – 我們建議您不要在 CA 憑證中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。如果發生安全漏洞,這有助於限制敏感資訊的暴露。
+ 將**根憑證存放於信任存放**區 – 將根 CA 憑證存放於您的裝置信任存放區,以便您可以驗證憑證和 [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html) 的傳回值。如需與信任存放區相關的資訊 AWS 私有 CA,請參閱 [根 CA](PcaTerms.md#terms-rootca)。
如需如何建立私有 CA 的資訊,請參閱 [在 中建立私有 CA AWS 私有 CA](create-CA.md)。
## 步驟 3:使用 建立資源共享 AWS Resource Access Manager
如果您以程式設計方式使用 Connector for SCEP AWS Command Line Interface API、 AWS SDK 或 Connector for SCEP API,則需要使用 AWS Resource Access Manager 服務主體共用與 Connector for SCEP 共用私有 CA。這可讓 Connector for SCEP 共用存取您的私有 CA。當您在 AWS 主控台中建立連接器時,我們會自動為您建立資源共享。如需資源共用的資訊,請參閱*AWS RAM 《 使用者指南*》中的[建立資源共用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)。
若要使用 建立資源共享 AWS CLI,您可以使用 AWS RAM **create-resource-share**命令。下列命令會建立資源共享。指定您要共用的私有 CA ARN,做為 *resource-arns* 的值。
```
$ aws ram create-resource-share \
--region us-east-1 \
--name MyPcaConnectorScepResourceShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \
--resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID \
--principals pca-connector-scep.amazonaws.com \
--sources account
```
呼叫 的服務主體`CreateConnector`具有私有 CA 的憑證發行許可。若要防止使用 Connector for SCEP 的服務主體能夠一般存取您的 AWS 私有 CA 資源,請使用 限制其許可`CalledVia`。
# Connector for SCEP 入門
使用 AWS 私有憑證授權單位 Connector for SCEP,您可以從私有 CA 向啟用 SCEP 的裝置和行動裝置管理 (MDM) 系統發行憑證。當您建立連接器時, 會為您 AWS 私有憑證授權單位 建立 SCEP URL 來請求憑證,並為您提供可用來整合到 MDM 系統的資訊。
若要發行憑證,您必須建立 AWS 私有憑證授權單位 私有 CA、建立連接器,然後設定已啟用 SCEP 的 MDM 系統和裝置,以從連接器請求憑證。
**Topics**
+ [開始之前](#connector-for-scep-getting-started-prerequisites)
+ [步驟 1:建立連接器](#gs-create-connector-for-scep-console)
+ [步驟 2:將連接器詳細資訊複製到 MDM 系統](#gs-connector-for-scep-view-details)
## 開始之前
下列教學課程會引導您完成建立 SCEP 連接器的程序。
若要遵循本教學課程,您需要私有 CA 和啟用 SCEP 的裝置。您也必須先滿足 [設定適用於 SCEP 的 Connector](connector-for-scep-setting-up.md)區段中列出的先決條件。
下列程序說明如何使用 AWS 主控台建立連接器。
**Topics**
+ [開始之前](#connector-for-scep-getting-started-prerequisites)
+ [步驟 1:建立連接器](#gs-create-connector-for-scep-console)
+ [步驟 2:將連接器詳細資訊複製到 MDM 系統](#gs-connector-for-scep-view-details)
## 步驟 1:建立連接器
您將建立一般用途的連接器或適用於 SCEP for Microsoft Intune 的連接器。一般用途連接器專為與啟用 SCEP 的端點搭配使用而設計,您可以管理 SCEP 挑戰密碼。Connector for SCEP for Microsoft Intune 適用於 Microsoft Intune,您可以使用 Microsoft Intune 管理挑戰密碼。
------
#### [ General-purpose ]
**建立用於一般用途的連接器**
登入 AWS 您的帳戶,並在 開啟 Connector for SCEP 主控台**[https://console.aws.amazon.com/pca-connector-scep/home](https://console.aws.amazon.com/pca-connector-scep/home)**。
1. 選擇 **Create connector (建立連接器)**。
1. 在**建立連接器**頁面中,選擇性地在名稱**標籤**欄位中為連接器提供易記的名稱。名稱將顯示在您的連接器清單中。如果需要,您可以選取新增更多標籤,將**更多標籤新增至**連接器。標籤是您指派給 AWS 資源的標籤。每個標籤皆包含索引鍵與選用值。您可以使用標籤來搜尋和篩選資源或追蹤 AWS 成本。
1. 在**連接器類型**下,選擇**一般用途**。
1. 在**私有 CA** 下,選擇要與此連接器搭配使用的私有 CA。或者,選取建立**私有 CA 來建立新的 CA**。由於 SCEP 通訊協定中的固有漏洞,我們建議使用此連接器專用的私有 CA。如果您已建立新的 CA,當您完成建立 CA 時 AWS 私有 CA,請返回 Connector for SCEP 主控台並重新整理私有 CAs清單。您的新私有 CA 應該可供選取。
1. 在**挑戰密碼**下,選取**自動產生挑戰密碼**。建立此連接器時,我們會為您產生靜態挑戰密碼。
1. 在**連線**下,選擇**公**有以建立可透過公有網際網路存取的連接器。或者,選取**私有**並指定 VPC 端點,以限制此連接器只能透過該特定 VPC 端點存取。
1. 選取**建立連接器**。
------
#### [ Microsoft Intune ]
**建立 Connector for SCEP for Microsoft Intune**
登入 AWS 您的帳戶,並在 開啟 Connector for SCEP 主控台**[https://console.aws.amazon.com/pca-connector-scep/home](https://console.aws.amazon.com/pca-connector-scep/home)**。
1. 選擇 **Create connector (建立連接器)**。
1. 在**建立連接器**頁面上,選擇性地在名稱**標籤**欄位中為連接器提供易記的名稱。名稱將顯示在您的連接器清單中。如果需要,您可以選取新增更多標籤,將**更多標籤新增至**連接器。標籤是您指派給 AWS 資源的標籤。每個標籤皆包含索引鍵與選用值。您可以使用標籤來搜尋和篩選資源或追蹤 AWS 成本。
1. 在**連接器類型**下,選擇 **Microsoft Intune**。
1. 針對**應用程式 (用戶端) ID**,輸入您 Microsoft Entra ID 應用程式註冊中的應用程式 (用戶端) ID。如需搭配 Connector for SCEP 使用 Microsoft Intune 的詳細資訊,請參閱 [設定 Connector for SCEP 的 MDM 系統設定 MDM 系統](using-connector-for-scep-with-mdm.md)。
1. 在**目錄 (租戶) ID 或主要網域**中,輸入您 Microsoft Entra ID 應用程式註冊中的目錄 (租戶) ID 或主要網域。
1. 在**私有 CA** 下,選擇要與此連接器搭配使用的私有 CA。或者,選取建立**私有 CA 來建立新的 CA**。由於 SCEP 通訊協定中的固有漏洞,我們建議使用此連接器專用的私有 CA。如果您已建立新的 CA,當您完成建立 CA 時 AWS 私有 CA,請返回 Connector for SCEP 主控台並重新整理私有 CAs清單。您的新私有 CA 應該可供選取。
1. 在**連線**下,選擇**公**有以建立可透過公有網際網路存取的連接器。或者,選取**私有**並指定 VPC 端點,以限制此連接器只能透過該特定 VPC 端點存取。
1. 選取**建立連接器**。
------
## 步驟 2:將連接器詳細資訊複製到 MDM 系統
建立連接器後,您需要將下列詳細資訊從連接器複製到 MDM 系統。若要使用主控台檢視連接器的詳細資訊,請從 [Connectors for SCEP 主控台頁面的清單中選擇連接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)。
+ **SCEP URL** - 這是連接器的端點,SCEP 用戶端將從中請求憑證。請注意,僅將此端點提供給信任的實體。
+ (一般用途) **挑戰密碼** - 在**挑戰密碼**下,選取您在上述程序中自動產生的密碼,然後選取**檢視密碼**以檢視密碼。若要建立其他密碼,請選取**建立密碼**。請小心將密碼分發給高度信任的個人和用戶端。單一挑戰密碼可用於向任何主體和 SANs 發行任何憑證,因此應謹慎處理。
+ (Microsoft Intune) **Open ID** 值 - 如果您要與 Microsoft Intune 整合,您必須將 **Open ID 發行者**、**Open ID 主體**和 **Open ID 對象**複製到您 Microsoft Entra 應用程式註冊的 OpenID Connect (OIDC) 憑證。如需詳細資訊,請參閱[設定 Connector for SCEP 的 MDM 系統設定 MDM 系統](using-connector-for-scep-with-mdm.md)。
# 設定 Connector for SCEP 的 MDM 系統
Simple Certificate Enrollment Protocol (SCEP) 是用於憑證註冊和續約的標準通訊協定。Connector for SCEP 是以 [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) 為基礎的 SCEP 伺服器,會自動從 將憑證發行 AWS 私有憑證授權單位 到您的 SCEP 用戶端。當您建立連接器時,Connector for SCEP 會提供 HTTPS 端點,讓 SCEP 用戶端從中請求憑證。用戶端會使用包含在服務憑證簽署請求 (CSR) 中的挑戰密碼進行身分驗證。您可以使用 Connector for SCEP 搭配熱門的行動裝置管理 (MDM) 系統,包括 Microsoft Intune、Omanssa Workspace ONE 和 Jamf Pro,來註冊行動裝置。它旨在與任何支援 SCEP 的用戶端或端點搭配使用。
Connector for SCEP 提供兩種類型的連接器:一般用途和 Connector for SCEP for Microsoft Intune。下列各節說明它們的運作方式,以及如何設定您的 MDM 系統來使用它們。
## 一般用途連接器
一般用途連接器旨在使用支援 SCEP 的行動裝置端點,但具有專用連接器的 Microsoft Intune 除外。使用 Jamf Pro 或 Omnissa Workspace ONE 等一般用途連接器,您可以管理 SCEP 挑戰密碼。下圖使用行動裝置管理 (MDM) 系統做為範例,但相同的功能適用於其他已啟用 SCEP 的系統或裝置。
![\[描述 Connector for SCEP 一般用途連接器的運作方式。\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/GenPurpose.jpg)
1. MDM 系統 (或其他裝置或系統) 會將 SCEP 設定檔傳送至行動用戶端。SCEP 設定檔包含定義憑證設定檔的組態參數,例如憑證有效期間、挑戰密碼,以及與憑證發行相關的其他資訊。
1. 行動用戶端會請求憑證,也會傳送包含挑戰密碼的憑證簽署請求 (CSR)。
1. Connector for SCEP 驗證挑戰密碼。如果有效,則服務 AWS 私有 CA 會代表行動用戶端向 請求憑證。
1. AWS 私有 CA 會發出憑證並將其傳送至 Connector for SCEP。
1. Connector for SCEP 會將發行的憑證傳送至行動用戶端。
## AWS 私有 CA Connector for SCEP for Microsoft Intune
AWS 私有 CA Connector for SCEP for Microsoft Intune 專為與 Microsoft Intune 搭配使用而設計。使用 Connector for SCEP for Microsoft Intune 連接器類型,您將使用 Microsoft Intune 來管理您的 SCEP 挑戰密碼。如需搭配 Microsoft Intune 使用 Connector for SCEP 的詳細資訊,請參閱 [設定適用於 SCEP 連接器的 Microsoft Intune設定 Microsoft Intune](connector-for-scep-intune.md)。
若要搭配 Microsoft Intune 使用 Connector for SCEP,您必須使用 Microsoft Intune API 啟用特定功能,並擁有有效的 Microsoft Intune 授權。您也應該檢閱 [Microsoft Intune® 應用程式保護政策](https://learn.microsoft.com/en-us/mem/intune/apps/app-protection-policy)。
![\[Connector for SCEP for Microsoft Intune 的運作方式。\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/Intune.jpg)
1. Microsoft Intune 會將 SCEP 設定檔傳送至行動用戶端。設定檔包含行動用戶端放入 CSR 的加密挑戰密碼。
1. 行動用戶端會請求憑證,並將 CSR 傳送至 Connector for SCEP。
1. Connector for SCEP 會將 CSR 傳送給 Microsoft Intune 進行授權。
1. Microsoft Intune 會解密 CSR 中的挑戰密碼。如果有效,Microsoft Intune 會將核准傳送至 Connector for SCEP,以將憑證發行給行動用戶端。
1. Connector for SCEP AWS 私有 CA 代表行動用戶端向 請求憑證。
1. AWS 私有 CA 會發出憑證並將其傳送至 Connector for SCEP。
1. Connector for SCEP 會將發行的憑證傳送至行動用戶端。
**Topics**
+ [一般用途連接器](#connector-for-scep-how-it-works-general-purpose)
+ [AWS 私有 CA Connector for SCEP for Microsoft Intune](#connector-for-scep-how-it-works-intune)
+ [設定適用於 SCEP 連接器的 Jamf Pro](connector-for-scep-general-purpose.md)
+ [設定適用於 SCEP 連接器的 Microsoft Intune](connector-for-scep-intune.md)
+ [設定適用於 SCEP 連接器的 Omnissa Workspace ONE](connector-for-scep-omnissa.md)
# 設定適用於 SCEP 連接器的 Jamf Pro
您可以使用 AWS 私有 CA 做為 Jamf Pro 行動裝置管理 (MDM) 系統的外部憑證授權機構 (CA)。本指南說明如何在建立一般用途連接器後設定 Jamf Pro。
## 設定適用於 SCEP 連接器的 Jamf Pro
本指南提供如何設定 Jamf Pro 以搭配 Connector for SCEP 使用的指示。成功設定 Jamf Pro 和 Connector for SCEP 之後,您就可以將憑證發行 AWS 私有 CA 到受管裝置。
### Jamf Pro 需求
您的 Jamf Pro 實作必須符合下列要求。
+ 您必須在 Jamf Pro 中啟用**啟用憑證型身分驗證**設定。您可以在 Jamf Pro 文件的 Jamf Pro [安全設定](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/Security_Settings.html)頁面上找到此設定的詳細資訊。
### 步驟 1:(選用 - 建議) 取得私有 CA 的指紋
指紋是私有 CA 的唯一識別符,可用於在與其他系統或應用程式建立信任時驗證 CA 的身分。整合憑證授權機構 (CA) 指紋可讓受管裝置驗證其連線的 CA,並僅從預期的 CA 請求憑證。我們建議搭配 Jamf Pro 使用 CA 指紋。
**為您的私有 CA 產生指紋**
1. 從 AWS 私有 CA 主控台或使用 [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html) 取得私有 CA 憑證。將其儲存為 `ca.pem` 檔案。
1. 安裝 [OpenSSL Command Line 公用程式](https://wiki.openssl.org/index.php/Command_Line_Utilities)。
1. 在 OpenSSL 中,執行下列命令來產生指紋:
```
openssl x509 -in ca.pem -sha256 -fingerprint
```
### 步驟 2:在 Jamf Pro 中將 AWS 私有 CA 設定為外部 CA
建立 SCEP 連接器後,您必須在 Jamf Pro 中將 AWS 私有 CA 設定為外部憑證授權機構 (CA)。您可以將 AWS 私有 CA 設定為全域外部 CA。或者,您可以使用 Jamf Pro 組態描述檔,針對不同的使用案例從 發行 AWS 私有 CA 不同的憑證,例如將憑證發行到組織中的裝置子集。實作 Jamf Pro 組態描述檔的指引超出本文件的範圍。
**在 Jamf Pro 中將 AWS 私有 CA 設定為外部憑證授權機構 (CA)**
1. 在 Jamf Pro 主控台中,前往**設定** > **全域** > **PKI 憑證,前往 PKI 憑證設定**頁面。 ****
1. 選取**管理憑證範本**索引標籤。
1. 選取**外部 CA**。
1. 選擇 **Edit** (編輯)。
1. (選用) 選取**啟用 Jamf Pro 做為組態設定檔的 SCEP Proxy**。您可以使用 Jamf Pro 組態描述檔來發行針對特定使用案例量身打造的不同憑證。如需如何在 Jamf Pro 中使用組態設定檔的指引,請參閱 [Jamf Pro 文件中的將 Jamf Pro 啟用為組態設定檔的 SCEP Proxy](https://learn.jamf.com/en-US/bundle/technical-paper-scep-proxy-current/page/Enabling_as_SCEP_Proxy_for_Configuration_Profiles.html#ariaid-title2)。
1. 選取**使用已啟用 SCEP 的外部 CA 進行電腦和行動裝置註冊**。
1. (選用) 選取**使用 Jamf Pro 做為電腦和行動裝置註冊的 SCEP Proxy**。如果您遇到設定檔安裝失敗,請參閱 [對設定檔安裝失敗進行故障診斷](#connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot)。
1. 將 Connector for SCEP **URL** 從連接器的詳細資訊複製並貼到 Jamf Pro 中的 **URL** 欄位。若要檢視連接器的詳細資訊,請從適用於 [SCEP 的連接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)清單中選擇連接器。或者,您可以呼叫 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) 並從回應複製`Endpoint`值來取得 URL。
1. (選用) 在名稱欄位中輸入執行個體**的名稱**。例如,您可以將其命名為 **AWS 私有 CA**。
1. 針對挑戰類型選取**靜態**。
1. 從連接器複製挑戰密碼,並將其貼到**挑戰**欄位中。連接器可以有多個挑戰密碼。若要檢視連接器的挑戰密碼,請導覽至 AWS 主控台中連接器的詳細資訊頁面,然後選取**檢視密碼**按鈕。或者,您可以呼叫 [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html) (GetChallengePassword) 並從回應複製`Password`值,以取得連接器的挑戰密碼。如需使用挑戰密碼的詳細資訊,請參閱 [了解 Connector for SCEP 的考量和限制考量和限制](c4scep-considerations-limitations.md)。
1. 將挑戰密碼貼到**驗證挑戰**欄位中。
1. 選擇**金鑰大小**。我們建議金鑰大小為 2048 或更高。
1. (選用) 選取**使用 做為數位簽章**。選取此選項以進行身分驗證,以授予裝置安全存取 Wi-Fi 和 VPN 等資源的權限。
1. (選用) 選取**用於金鑰加密**。
1. (選用 - 建議) 在**指紋**欄位中輸入十六進位字串。我們建議您新增 CA 指紋,以允許受管裝置驗證 CA,並僅向 CA 請求憑證。如需如何為私有 CA 產生指紋的說明,請參閱 [步驟 1:(選用 - 建議) 取得私有 CA 的指紋](#connector-for-scep-jamf-pro-ca-fingerprint)。
1. 選取**儲存**。
### 步驟 3:設定組態設定檔簽署憑證
若要使用 Jamf Pro 搭配 Connector for SCEP,您必須為與連接器相關聯的私有 CA 提供簽署和 CA 憑證。您可以透過將設定檔簽署憑證金鑰存放區上傳到包含兩個憑證的 Jamf Pro 來執行此操作。
以下是建立憑證金鑰存放區並將其上傳至 Jamf Pro 的步驟:
+ 使用內部程序產生憑證簽署請求 (CSR)。
+ 取得與連接器相關聯之私有 CA 簽署的 CSR。
+ 建立包含設定檔簽署和 CA 憑證的設定檔簽署憑證金鑰存放區。
+ 將憑證金鑰存放區上傳至 Jamf Pro。
透過遵循這些步驟,您可以確保裝置可以驗證和驗證由私有 CA 簽署的組態設定檔,以使用 Connector for SCEP 搭配 Jamf Pro。
1. 下列範例使用 OpenSSL 和 AWS Certificate Manager,但您可以使用您偏好的方法產生憑證簽署請求。
------
#### [ AWS Certificate Manager console ]
**使用 ACM 主控台建立設定檔簽署憑證**
1. 使用 ACM [請求私有 PKI 憑證]()。包含下列項目:
+ **類型** - 使用做為 MDM 系統 SCEP 憑證授權單位的相同私有 CA 類型。
+ 在**憑證授權機構詳細資訊**區段中,選取**憑證授權機構**選單,然後選擇做為 Jamf Pro CA 的私有 CA。
+ **網域名稱** - 提供要內嵌至憑證的網域名稱。您可以使用完整網域名稱 (FQDN),例如 `www.example.com`,或是裸機或頂點網域名稱,例如 `example.com`(不包括 `www.`)。
1. 使用 ACM 匯出[您在上述步驟中建立的私有憑證](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。選擇**匯出憑證、憑證鏈和加密金鑰**的檔案。請備妥**密碼短語**,因為在下一個步驟中會需要它。
1. 在終端機中,在包含匯出檔案的資料夾中執行下列命令,將 PKCS\$112 套件寫入您在上一個步驟中建立的密碼短語編碼的`output.p12`檔案中。
```
openssl pkcs12 -export \
-in "Exported Certificate.txt" \
-certfile "Certificate Chain.txt" \
-inkey "Exported Certificate Private Key.txt" \
-name example \
-out output.p12 \
-passin pass:your-passphrase \
-passout pass:your-passphrase
```
------
#### [ AWS Certificate Manager CLI ]
**使用 ACM CLI 建立設定檔簽署憑證**
+ 下列命令說明如何在 ACM 中建立憑證,然後將檔案匯出為 PKCS\$112 套件。
```
PCA=
CERTIFICATE=$(aws acm request-certificate \
--certificate-authority-arn $PCA \
--domain-name \
| jq -r '.CertificateArn')
while [[ $(aws acm describe-certificate \
--certificate-arn $CERTIFICATE \
| jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.Certificate' > Certificate.pem
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
openssl pkcs12 -export \
-in "Certificate.pem" \
-certfile "CertificateChain.pem" \
-inkey "PrivateKey.pem" \
-name example \
-out output.p12 \
-passin pass:passphrase \
-passout pass:passphrase
```
------
#### [ OpenSSL CLI ]
**使用 OpenSSL CLI 建立設定檔簽署憑證**
1. 使用 OpenSSL,執行下列命令來產生私有金鑰。
```
openssl genrsa -out local.key 2048
```
1. 產生憑證簽署請求 (CSR):
```
openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation
```
1. 使用 AWS CLI,使用您在上一個步驟中產生的 CSR 發行簽署憑證。執行下列命令,並在回應中記下憑證 ARN。
```
aws acm-pca issue-certificate --certificate-authority-arn --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS
```
1. 執行下列命令以取得簽署憑證。指定上一個步驟的憑證 ARN。
```
aws acm-pca get-certificate --certificate-authority-arn --certificate-arn | jq -r '.Certificate' >local.crt
```
1. 執行下列命令以取得 CA 憑證。
```
aws acm-pca get-certificate-authority-certificate --certificate-authority-arn | jq -r '.Certificate' > ca.crt
```
1. 使用 OpenSSL,以 p12 格式輸出簽署憑證金鑰存放區。使用您在步驟 4 和步驟 5 中產生的 CRT 檔案。
```
openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
```
1. 出現提示時,請輸入匯出密碼。此密碼是您提供給 Jamf Pro 的金鑰存放區密碼。
------
1. 在 Jamf Pro 中,導覽至**管理憑證範本**,然後前往**外部 CA** 窗格。
1. 在**外部 CA** 窗格底部,選取**變更簽署和 CA 憑證**。
1. 遵循畫面上的指示,上傳外部 CA 的簽署和 CA 憑證。
### 步驟 4:(選用) 在使用者起始的註冊期間安裝憑證
若要在用戶端裝置與私有 CA 之間建立信任,您必須確保裝置信任 Jamf Pro 發行的憑證。您可以使用 Jamf Pro [的使用者起始註冊設定](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/User-Initiated_Enrollment_Settings.html#:~:text=In%20Jamf%20Pro%2C%20click%20Settings,to%20be%20used%20during%20enrollment.),在用戶端裝置上在註冊過程中請求憑證時,自動在用戶端裝置上安裝 AWS 私有 CA的 CA 憑證。
### 對設定檔安裝失敗進行故障診斷
如果您在啟用**使用 Jamf Pro 做為電腦和行動裝置註冊的 SCEP Proxy** 後遇到設定檔安裝失敗,請參閱您的裝置日誌,並嘗試下列操作。
| 裝置日誌錯誤訊息 | 緩解 |
| --- |--- |
| `Profile installation failed. Unable to obtain certificate from SCEP server at ".jamfcloud.com". ` | 如果您在嘗試註冊時收到此錯誤訊息,請重試註冊。註冊成功之前,可能需要多次嘗試。 |
| `Profile installation failed. Unable to obtain certificate from SCEP server at ".jamfcloud.com". ` | 您的挑戰密碼可能設定錯誤。驗證 Jamf Pro 中的挑戰密碼是否符合連接器的挑戰密碼。 |
# 設定適用於 SCEP 連接器的 Microsoft Intune
您可以使用 AWS 私有 CA 做為外部憑證授權機構 (CA) 與 Microsoft Intune 行動裝置管理 (MDM) 系統。本指南說明如何在建立 Connector for SCEP for Microsoft Intune 之後設定 Microsoft Intune。
## 先決條件
建立 Connector for SCEP for Microsoft Intune 之前,您必須完成下列先決條件。
+ 建立 Entra ID。
+ 建立 Microsoft Intune 租用戶。
+ 在 Microsoft Entra ID 中建立應用程式註冊。如需如何管理[應用程式註冊之應用程式層級許可的相關資訊,請參閱 Microsoft Entra 文件中的在 Microsoft Entra ID 中更新應用程式請求](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane)的許可。應用程式註冊必須具有下列許可:
+ **在 Intune** 設定 **scep\$1challenge\$1provider** 下。
+ 對於 **Microsoft 圖形**集 **Application.Read.All **和 **User.Read**。
+ 您必須在應用程式註冊管理員同意中授予應用程式。如需詳細資訊,請參閱 Microsoft Entra 文件中的[授予租用戶整體管理員對應用程式的同意](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)。
**提示**
當您建立應用程式註冊時,請記下**應用程式 (用戶端) ID** 和**目錄 (租戶) ID 或主要網域**。當您建立 Connector for SCEP for Microsoft Intune 時,您將會輸入這些值。如需如何取得這些值的資訊,請參閱 [Microsoft Entra 文件中的建立可存取資源的 Microsoft Entra 應用程式和服務主體](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal)。
## 步驟 1:授予 AWS 私有 CA 許可以使用您的 Microsoft Entra ID 應用程式
建立 Connector for SCEP for Microsoft Intune 之後,您必須在 Microsoft 應用程式註冊下建立聯合憑證,以便 Connector for SCEP 可以與 Microsoft Intune 通訊。
**在 Microsoft Intune 中將 AWS 私有 CA 設定為外部 CA**
1. 在 Microsoft Entra ID 主控台中,導覽至**應用程式註冊**。
1. 選擇您建立以搭配 Connector for SCEP 使用的應用程式。您按一下的應用程式的應用程式 (用戶端) ID 必須符合您在建立連接器時指定的 ID。
1. 從**受**管下拉式功能表中選取**憑證和秘密**。
1. 選取**聯合登入資料**索引標籤。
1. 選取**新增登入資料**。
1. 從**聯合登入資料案例**下拉式選單中,選擇**其他發行者**。
1. 將 Connector for SCEP for Microsoft Intune 詳細資訊中的 **OpenID 發行**者值複製並貼到**發行者**欄位中。若要檢視連接器的詳細資訊,請從 AWS 主控台的 [Connectors for SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 清單中選擇連接器。或者,您可以呼叫 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) 來取得 URL,然後從回應複製該`Issuer`值。
1. 針對**類型**,選取**明確主旨識別符**。
1. 將連接器中的 **OpenID 主體**值複製並貼到**值**欄位中。您可以在 AWS 主控台的連接器詳細資訊頁面中檢視 OpenID 發行者值。或者,您可以呼叫 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) 來取得 URL,然後從回應複製該`Audience`值。
1. (選用) 在名稱欄位中輸入執行個體**的名稱**。例如,您可以將其命名為 **AWS 私有 CA**。
1. (選用) 在描述欄位中輸入**描述**。
1. 將 **OpenID Audience** 值從 Connector for SCEP for Microsoft Intune 詳細資訊複製並貼到 **Audience** 欄位。若要檢視連接器的詳細資訊,請從 AWS 主控台的 [Connectors for SCEP ](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)清單中選擇連接器。或者,您可以呼叫 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) 來取得 URL,然後從回應複製該`Subject`值。
1. 選取**新增**。
## 步驟 2:設定 Microsoft Intune 組態描述檔
授予呼叫 Microsoft Intune 的 AWS 私有 CA 許可後,您必須使用 Microsoft Intune 建立 Microsoft Intune 組態描述檔,指示裝置聯絡 Connector for SCEP 進行憑證發行。
1. 建立信任的憑證組態設定檔。您必須將與 Connector for SCEP 搭配使用的鏈結根 CA 憑證上傳至 Microsoft Intune 以建立信任。如需有關如何建立信任憑證組態設定檔的資訊,請參閱 [Microsoft Intune 文件中的 Microsoft Intune 的信任根憑證設定檔](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root)。
1. 建立 SCEP 憑證組態描述檔,在您的裝置需要新憑證時,將裝置指向連接器。組態設定檔的**設定檔類型**應該是 **SCEP 憑證**。對於組態設定檔的根憑證,請確定您使用在上一個步驟中建立的信任憑證。
對於 **SCEP 伺服器 URLs**,請將連接器詳細資訊中的 **SCEP URL** 複製並貼到 **SCEP 伺服器 URLs**。若要檢視連接器的詳細資訊,請從適用於 [SCEP 的連接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)清單中選擇連接器。或者,您可以呼叫 [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html) 來取得 URL,然後從回應複製該`Endpoint`值。如需在 Microsoft Intune 中建立組態設定檔的指引,請參閱 Microsoft Intune 文件中的在 [Microsoft Intune 中建立和指派 SCEP 憑證設定檔](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep)。
**注意**
對於非 Mac 作業系統和 iOS 裝置,如果您未在組態設定檔中設定有效期間,Connector for SCEP 會發出有效一年的憑證。如果您未在組態描述檔中設定擴充金鑰用量 (EKU) 值,Connector for SCEP 會使用 設定的 EKU 發出憑證`Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)`。對於 macOS 或 iOS 裝置,Microsoft Intune 不遵守組態設定檔中的 `ExtendedKeyUsage`或 `Validity` 參數。對於這些裝置,Connector for SCEP 透過用戶端身分驗證向這些裝置發出有效期為一年的憑證。
## 步驟 3:驗證與 Connector for SCEP 的連線
在您建立指向 Connector for SCEP 端點的 Microsoft Intune 組態描述檔之後,請確認已註冊的裝置可以請求憑證。若要確認,請確定沒有任何政策指派失敗。若要確認,請在 Intune 入口網站中導覽至**裝置** > **管理裝置** > **組態**,並確認**組態政策指派失敗**下沒有列出任何內容。如果有,請使用上述程序的資訊確認您的設定。如果您的設定正確且仍然失敗,請參閱[從行動裝置收集可用資料](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device)。
如需有關裝置註冊的資訊,請參閱 Microsoft Intune 文件中的[什麼是裝置註冊?](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done)。
# 設定適用於 SCEP 連接器的 Omnissa Workspace ONE
您可以使用 AWS 私有 CA 做為 Omnissa Workspace ONE UEM (統一端點管理) 系統的外部憑證授權機構 (CA)。本指南說明如何在建立 SCEP 連接器後設定 Omnissa Workspace ONE AWS。
## 先決條件
為 Omnissa Workspace ONE 建立 SCEP 連接器之前,您必須完成下列先決條件:
+ 在 AWS 主控台中建立私有 CA。如需詳細資訊,請參閱[在 中建立私有 CA AWS 私有 CA](create-CA.md)。
+ 建立一般用途 SCEP 連接器。如需詳細資訊,請參閱[建立連接器](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console)。
+ 擁有具有組織群組 ID 的作用中 Omnissa Workspace ONE 環境管理員帳戶。
+ 如果您要註冊 Apple 裝置,請為 MDM 設定 Apple 推播通知服務 APNs)。如需詳細資訊,請參閱 Omnissa 文件中的 [APNs 憑證](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html)。
## 步驟 1:在 Omnissa Workspace ONE 中定義憑證授權單位和範本
在 AWS 主控台中建立私有 CA 和 SCEP 連接器之後,請在 Omnissa Workspace ONE 中定義憑證授權單位和範本。
**新增 AWS 私有 CA 做為憑證授權單位**
1. 從**系統**功能表中,選擇**企業整合**,然後選擇**憑證授權機構**。
1. 選擇 **\$1 ADD** 並提供下列資訊:
+ **名稱**: AWS-Private-CA。
+ **描述**: AWS 私有 CA 裝置憑證發行。
+ **授權類型**:選取**一般 SCEP**。
+ **SCEP URL**:輸入 SCEP URL AWS 私有 CA。
+ **挑戰類型**:選取 **STATIC**。
+ **靜態挑戰**:從 AWS 主控台的 Connector for SCEP 組態輸入 SCEP 靜態挑戰密碼。
+ 輸入**重試逾時**和**重試次數上限**值。
1. 儲存組態。
**建立憑證範本**
1. 從**系統**功能表中,選擇**企業整合**,選擇**憑證授權機構**,然後選擇**範本**。
1. 選擇**新增範本**並提供下列資訊:
+ **範本名稱**:Device-Cert-Template。
+ **憑證授權單位**:選擇 **AWS-Private-CA**。
+ **主旨名稱**:這是可自訂的欄位。您可以從屬性清單中選擇變數值。例如,CN=\$1DeviceReportedName\$1、O=\$1DevicePlatform\$1、OU=\$1CustomAttribute1\$1
+ **私有金鑰長度**:2048 位元。
+ **私有金鑰類型**:視需要選取**簽署**和**加密**
+ **自動續約**:已啟用/已停用 (根據您的需求)。
1. 儲存範本。
## 步驟 2:設定 Omnissa Workspace ONE UEM 設定檔組態
在 Omnissa Workspace ONE UEM 中建立設定檔,將裝置導向 Connector for SCEP 以發出憑證。
**建立憑證分佈的 SCEP 裝置設定檔**
1. 從**資源**功能表中,選擇**設定檔和基準**,然後選擇**設定檔**。
1. 選擇**新增**,然後選擇**新增設定檔**
1. 選取裝置平台 (**Android**、**iOS**、**macOS**、**Windows**)。
1. 視需要設定 **管理類型**和**內容**。
1. 設定**名稱**:Device-Cert-Profile。
1. 捲動至 **SCEP 承載**。
1. 選取 **SCEP**,然後選擇 **\$1新增**。
1. 使用下列組態:
+ **SCEP**:
+ 針對**登入資料來源**,選取**定義的憑證授權單位** (預設)。
+ 針對**憑證授權單位**選取 **AWS-Private-CA**
+ 針對**憑證範本**,選取步驟 1 中定義的 **Device-Cert-Template**。
1. 選擇**下一步**,然後在**指派**區段中,從清單中選擇正確的智慧群組 (裝置的指派群組)。
1. 選取**指派類型**為**自動**以啟用自動續約。
1. 儲存並發佈設定檔。
**注意**
如需詳細資訊,請參閱 Omnissa 文件中的 [SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html)。
## 步驟 3:在 Omnissa Workspace ONE 中註冊裝置
**建立或驗證智慧群組**
1. 從**群組和設定**中選擇**群組**,然後選擇**指派群組**。
1. 建立或編輯 POC-Devices 智慧群組:
+ **名稱**:POC-Devices。
+ **裝置類型**:選取**全部**或特定平台 (例如 Android 或 iOS)。
+ **條件**:使用 **UserGroup**、**平台和作業系統**、**OEM 和模型**來指定將目標裝置分組的條件。
+ **擁有權**:為個人或公司裝置選取**任何**。
1. 儲存並確認目標裝置會出現在**預覽**索引標籤中。
### 手動裝置註冊
Android
+ 從 Google Play 下載 **Workspace ONE Intelligent Hub** 應用程式。
+ 開啟應用程式並輸入註冊 URL 或掃描 QR 碼。
+ 登入並依照提示註冊為 MDM 受管裝置。
iOS/macOS
+ 在裝置上,開啟 **Safari** 並導覽至註冊 URL (例如 https:///enroll)。
+ 使用使用者登入資料登入。
+ 從 App Store 下載並安裝 **Workspace ONE Intelligent Hub** 應用程式。
+ 依照**設定** > **一般** > **VPN & 裝置管理** > 設定檔 > 安裝中的提示**安裝** MDM **設定檔**。
Windows
+ 從**工作區 ONE 伺服器或 Microsoft Store 下載工作區 ONE Intelligent Hub**。
+ 使用註冊 URL 和登入資料透過 Hub 註冊。
在裝置 > **列出檢視** > **更多動作** > 指派給智慧群組中,將已註冊**的裝置**指派給 POC-Devices **智慧群組**。
如需詳細資訊,請參閱 Omnissa 文件中的[自動化裝置註冊](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html)。
**驗證註冊**
1. 在 Omnissa Workspace ONE UEM 主控台中,前往**裝置**,然後**列出檢視**。
1. 確認您的已註冊裝置顯示狀態設為**已註冊**。
1. 確認裝置位於**裝置詳細資訊**的**群組**索引標籤中的 POC-Devices 智慧群組中。
## 步驟 4:發行憑證
**發出憑證的觸發**
1. 在**裝置****清單檢視**中,選取已註冊的裝置。
1. 選擇**查詢**按鈕以提示簽入。
1. Device-Cert-Profile 應該透過 發出憑證 AWS 私有 CA。
**驗證憑證安裝**
Android
選擇**設定**,然後選擇**安全性**,然後選擇**信任的登入**資料,然後選擇**使用者**來驗證憑證。
iOS
前往**設定**,然後選擇**一般**,然後選擇 **VPN 和裝置管理**,然後選擇**組態設定檔**。確認來自 AWS-Private-CA 的憑證存在。
macOS
開啟 **Keychain Access**,然後開啟 **System Keychain** 並驗證憑證。
Windows
開啟 **certmgr.msc**,然後開啟 **Personal**,然後開啟 **Certificates** 來驗證憑證。
## 疑難排解
SCEP 錯誤 (例如「22013」-SCEP 伺服器傳回無效的回應」)
+ 驗證工作區 ONE 中的 SCEP URL 和靜態挑戰密碼相符 AWS 私有 CA。
+ 測試 SCEP 端點連線能力:curl 。
+ 檢查 AWS CloudTrail 日誌是否有 AWS 私有 CA 錯誤 (`IssueCertificate` 失敗等)。
APNs問題 (iOS/macOS)
+ 確定 APNs憑證有效並指派給正確的組織群組。
+ 測試 APNs連線能力:telnet [gateway.push.apple.com](http://gateway.push.apple.com/) 2195。
設定檔安裝失敗
+ 確認裝置位於正確的智慧群組 (**裝置**、**清單檢視**,以及**群組**)。
+ 強制設定檔同步:**更多動作**,然後**傳送**,然後**設定檔清單**。
日誌
+ Android:使用 **Logcat** 或工作區 ONE 日誌。
+ iOS/macOS:log show --predicate 'process == "mdmclient"' --last 1h (透過 Xcode/Apple Configurator)。
+ Windows:**事件檢視器**,然後**是應用程式和服務日誌**,然後是 **Microsoft-Windows-DeviceManagement**。
+ Workspace ONE UEM:**監控**,然後**報告和分析**,然後是**事件**,然後是**裝置事件**。
如需 中用於 SCEP 監控的詳細 Connector AWS,請參閱 [https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html)。
## 安全考量
+ 安全地存放 SCEP URLs 和秘密。如需詳細資訊,請參閱 [AWS Secrets Manager 服務](https://docs.aws.amazon.com/secretsmanager/)。
+ 將智慧型群組條件限制為僅限目標裝置。
+ 定期續約 Apple 推播通知 (APNs) 憑證 (有效期為 1 年)。
+ 為概念驗證專案設定短憑證有效期間,以將風險降至最低。
+ 對於個人裝置,請確定清除會移除所有設定檔和憑證。
如需有關如何使用 SCEP 連接器設定 Omnissa Workspace ONE UEM 和 CA 整合的資訊,請參閱 [Omnissa Workspace ONE 文件中的 SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)。
# Connector for SCEP 中的安全性
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構專為滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/) 將此描述為雲端*的*安全和雲端*內*的安全:
+ **雲端的安全性** – AWS 負責保護在 AWS 雲端中執行 AWS 服務的基礎設施。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
本文件可協助您了解如何在使用 Connector for SCEP 時套用共同責任模型。下列主題說明如何設定 Connector for SCEP 以符合您的安全與合規目標。
**Topics**
+ [適用於 SCEP VPC 端點的連接器 (AWS PrivateLink)](c4scep-vpc-endpoints.md)
# 適用於 SCEP VPC 端點的連接器 (AWS PrivateLink)
您可以設定介面 VPC 端點,在 VPC 和 Connector for SCEP 之間建立私有連線。介面端點採用 [AWS PrivateLink](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-privatelink.html)技術,可私下存取 Connector for SCEP API 操作。 會透過 Amazon 網路 AWS PrivateLink 路由 VPC 與 Connector for SCEP 之間的所有網路流量,避免公開網際網路。每個 VPC 端點皆會由一個或多個具私有 IP 地址[彈性網路界面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)來表示,而該界面位於 VPC 子網路中。
介面 VPC 端點會將您的 VPC 直接連線至 Connector for SCEP,無需網際網路閘道、NAT 裝置、VPN 連線或 Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址,即可與 Connector for SCEP API 通訊。
若要透過 VPC 使用 Connector for SCEP,您必須從 VPC 內的執行個體連線。或者,您可以使用 AWS Virtual Private Network (Site-to-Site VPN) 或 將私有網路連接到 VPC Direct Connect。如需 的詳細資訊 Site-to-Site VPN,請參閱《*Amazon VPC 使用者指南*》中的 [VPN 連線](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)。如需有關 Direct Connect的資訊,請參閱《Direct Connect 使用者指南》**中的[建立連線](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html#create-connection)。
Connector for SCEP 不需要使用 AWS PrivateLink,但我們建議將其作為額外的安全層。如需 AWS PrivateLink 和 VPC 端點的詳細資訊,請參閱[透過 存取服務 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/privatelink-access-aws-services.html)。
## Connector for SCEP VPC 端點的考量
設定 Connector for SCEP 的介面 VPC 端點之前,請注意下列考量:
+ Connector for SCEP 在某些可用區域中可能不支援 VPC 端點。當您建立 VPC 端點時,請先檢查 管理主控台中的支援。不支援的可用區域會標示為「此可用區域不支援 服務」。
+ VPC 端點不支援跨區域請求。請確定您在建立連接器的相同區域中建立端點。
+ VPC 端點僅支援 Amazon 透過 Amazon Route 53 提供的 DNS。如果您想要使用自己的 DNS,您可以使用條件式 DNS 轉送。如需詳細資訊,請參閱*《Amazon VPC 使用者指南》*中的 [DHCP 選項集](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)。
+ 連接到 VPC 端點的安全群組,必須允許從 VPC 的私有子網路,透過 443 埠傳入的連線。
## 建立 Connector for SCEP 的 VPC 端點
您可以使用位於 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/):// 的 VPC 主控台或 ,為 Connector for SCEP 服務建立 VPC 端點 AWS Command Line Interface。如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)程序。Connector for SCEP 支援呼叫 VPC 內的所有 API 操作。
建立端點時,請指定 `com.amazonaws.region.pca-connector-scep`做為服務名稱。
如果您已啟用端點的私有 DNS 主機名稱,則預設的 Connector for SCEP 端點現在會解析為您的 VPC 端點。如需預設服務端點的完整清單,請參閱[服務端點和配額](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html)。
如果您尚未啟用私有 DNS 主機名稱,Amazon VPC 會提供 DNS 端點名稱,您可以使用下列格式:
```
vpc-endpoint-id.pca-connector-scep.region.vpce.amazonaws.com
```
如需詳細資訊,請參閱《*Amazon* [VPC 使用者指南》中的 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)。
## 為 Connector for SCEP 建立 VPC 端點政策
您可以為 Connector for SCEP 的 Amazon VPC 端點建立政策,以指定下列項目:
+ 可執行動作的委託人
+ 可執行的動作
+ 可在其中執行動作的資源
如需詳細資訊,請參閱《*Amazon* [VPC 指南》中的使用 VPC 端點控制對 服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
**範例 – Connector for SCEP 動作的 VPC 端點政策**
連接至端點時,下列政策會授予所有主體對指定連接器資源上所列 Connector for SCEP 動作的存取權。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"pca-connector-scep:GetConnector",
"pca-connector-scep:ListConnectors"
],
"Resource": "arn:aws:pca-connector-scep:region:account:connector/connector-id"
}
]
}
```
## 為 Connector for SCEP 註冊操作建立 VPC 端點
Connector for SCEP 為註冊操作提供單獨的 VPC 端點服務,例如 `GetCACaps`和 `PKIOperation`。
建立註冊端點時,請指定 `com.amazonaws.region.pca-connector-scep.enroll`做為服務名稱。
建立連接器時,您可以選擇性地指定 `VpcEndpointId`,將連接器限制為只能透過該特定 VPC 端點存取。
如果您尚未啟用私有 DNS 主機名稱,Amazon VPC 會提供 DNS 端點名稱,您可以使用下列格式:
```
vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com
```
**注意**
若要連接連接器,您必須使用連接器詳細資訊中包含的端點 URL,而不是直接使用 VPC 端點 DNS 名稱。不過,您可以將連接器端點 URL 的 DNS 名稱部分取代為任何有效的 VPC 端點 DNS 名稱,例如 AZ 特定的 DNS 名稱。
例如,若要使用 AZ 特定的 DNS 名稱,您可以取代
```
https://vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
```
取代為
```
https://vpc-endpoint-id-availability-zone.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
```
**範例 – Connector for SCEP 註冊操作的 VPC 端點政策**
您可以連接 VPC 端點政策,以控制對註冊操作的存取。連接至 端點時,下列政策會授予所有主體對 `GetCACaps`和 `PKIOperation`操作的存取權。Stanza 中的資源是連接器。
連接器的 SCEP 註冊操作不會使用 SigV4 驗證。因此,它們不會與 IAM 主體相關聯,而是被 VPC 端點政策視為匿名。因此,您的 VPC 端點政策必須允許這些動作的所有主體。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"pca-connector-scep:GetCACaps",
"pca-connector-scep:GetCACert",
"pca-connector-scep:PKIOperation"
],
"Resource": [
arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566
]
}
]
}
```
# Monitor Connector for SCEP
監控是維護 Connector for SCEP 及其他 AWS 解決方案的可靠性、可用性和效能的重要部分。 AWS 提供下列監控工具來監看 Connector for SCEP、在發生錯誤時回報,並適時採取自動動作:
+ *AWS CloudTrail* 擷取您 AWS 帳戶 發出或代表發出的 API 呼叫和相關事件,並傳送日誌檔案至您指定的 Amazon S3 儲存貯體。您可以識別哪些使用者和帳戶稱為 AWS APIs、進行呼叫的來源 IP 地址,以及呼叫的時間。
如果您監控 CloudTrail 資料事件,日誌會包含來自用戶端裝置的所有最近請求清單。資料事件隨附識別用戶端裝置資訊,例如 IP 地址、執行的操作類型,以及操作導致 `failed` 狀態時的錯誤碼和詳細訊息。如需詳細資訊,請參閱[「AWS CloudTrail 使用者指南」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
+ *Amazon EventBridge* 為無伺服器事件匯流排服務,可讓您輕鬆將應用程式與來自各種來源的資料互相連線。EventBridge 會從您自己的應用程式、Software-as-a-Service(SaaS) 應用程式 AWS 和服務提供即時資料串流,並將該資料路由至 Lambda 和 CloudWatch Logs 等目標。這可讓您監控在服務中發生的事件,並建置事件導向的架構。如需詳細資訊,請參閱 [Amazon EventBridge 使用者指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/)。
**Topics**
+ [使用 EventBridge 自動化 SCEP 的連接器](c4scep-monitor-eventbridge-events.md)
+ [使用 的 Log Connector for SCEP API 呼叫 AWS CloudTrail](logging-using-cloudtrail-c4scep.md)
# 使用 EventBridge 自動化 SCEP 的連接器
您可以使用 [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cwe-now-eb.html) 自動化您的 AWS 服務,並自動回應系統事件,例如應用程式可用性問題或資源變更。 AWS 服務的事件會以接近即時的方式傳送到 EventBridge。您可撰寫簡單的規則,指出您在意的事件,以及當事件符合規則時所要自動執行的動作。EventBridge 至少發佈一次。如需詳細資訊,請參閱[建立對 EventBridge 中的事件做出反應的規則](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-Rule.html)。
CloudWatch Events 會使用 EventBridge 轉換為動作。使用 EventBridge,您可以使用事件來觸發目標。如需詳細資訊,請參閱[什麼是 Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
## Connector for SCEP 事件類型
### 憑證發行成功
當我們發出憑證以回應`PkiOperationPost`請求時,Connector for SCEP 會將`Certificate Issuance Succeeded`事件傳送至 EventBridge。
以下是事件的範例資料。
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Issuance Succeeded",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "success",
"requestType": "PkiOperationPost",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
}
```
### 憑證發行失敗
當我們無法發出憑證以回應`PkiOperationPost`請求時,Connector for SCEP 會將`Certificate Issuance Failed`事件傳送至 EventBridge。
以下是事件的範例資料。
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Issuance Failed",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "failure",
"requestType": "PkiOperationPost",
"reason": "The certificate authority is not active."
}
}
```
### 憑證授權單位憑證擷取成功
當我們收到`GetCACert`請求並成功擷取連接器的私有 CA 憑證時,Connector for SCEP 會將`Certificate Authority Certificate Retrieval Succeeded`事件傳送至 EventBridge。
以下是事件的範例資料。
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Authority Certificate Retrieval Succeeded",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "success",
"requestType": "GetCACert"
}
}
```
### 憑證授權單位憑證擷取失敗
當我們收到`GetCACert`請求且無法擷取連接器的私有 CA 憑證時,Connector for SCEP 會將`Certificate Authority Certificate Retrieval Failed`事件傳送至 EventBridge。事件包含失敗的原因。
以下是事件的範例資料。
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Authority Certificate Retrieval Failed",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "failure",
"requestType": "GetCACert",
"reason": "The certificate authority certificate validity must be at least one year from today."
}
}
```
### 憑證授權單位憑證擷取成功
當我們收到`GetCACert`請求並成功擷取連接器的私有 CA 憑證時,Connector for SCEP 會將`Certificate Authority Certificate Retrieval Succeeded`事件傳送至 EventBridge。
以下是事件的範例資料。
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Authority Certificate Retrieval Succeeded",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "success",
"requestType": "GetCACert"
}
}
```
### 憑證授權單位功能擷取成功
當我們收到 SCEP `GetCACaps`請求並成功擷取 CA 的功能時,Connector for SCEP 會將`Certificate Authority Capabilities Retrieval Succeeded`事件傳送至 EventBridge。
以下是事件的範例資料。
```
```
### 憑證授權機構功能擷取失敗
當我們收到 SCEP `GetCACaps`請求且無法擷取 CA 的功能時,Connector for SCEP 會將`Certificate Authority Capabilities Retrieval Failed`事件傳送至 EventBridge。我們在事件中包含失敗的原因。
以下是事件的範例資料。
```
{
"resources":
[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector11223344-1234-1122-2233-112233445566"
],
"detailType":"Certificate Authority Capabilities Retrieval Failed",
"detail": {
"result":"failure",
"requestType":"GetCACaps",
"reason":"The request was denied due to request throttling."
},
"source":"aws.pca-connector-scep","accountId":"111122223333"
}
```
### 叫用不支援的操作
**叫用不支援的操作**
如果傳送至連接器端點的操作不受支援或未知,Connector for SCEP 會將`Unsupported Operation Invoked`事件傳送至 EventBridge。
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Unsupported Operation Invoked",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {}
}
```
## 建立 EventBridge 規則
在 EventBridge 中,您可以建立回應 CloudTrail 記錄之事件的規則。若要建立包含 Connector for SCEP 記錄的所有事件的規則,請將來源設定為 `aws.pca-connector-scep`。如需規則的詳細資訊,請參閱[在 Amazon EventBridge 中建立規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule)。
# 使用 的 Log Connector for SCEP API 呼叫 AWS CloudTrail
Connector for Simple Certificate Enrollment Protocol (SCEP) 已與 服務整合 AWS CloudTrail,此服務可提供使用者、角色、用戶端或 AWS 服務所採取動作的記錄。CloudTrail 會將 Connector for SCEP 的所有 API 呼叫擷取為事件。擷取的呼叫包括來自 Connector for SCEP 主控台的呼叫,以及對 Connector for SCEP API 操作的程式碼呼叫。如果您建立線索,則可以將 CloudTrail 事件持續交付至 Amazon S3 儲存貯體,包括 Connector for SCEP 的事件。即使您未設定追蹤,依然可以透過 CloudTrail 主控台中的**事件歷史記錄**檢視最新事件。您可以使用 CloudTrail 所收集的資訊,判斷對 Connector for SCEP 提出的請求、提出請求的 IP 地址、提出請求的人員、提出請求的時間,以及其他詳細資訊。
若要進一步了解 CloudTrail,請參閱[「AWS CloudTrail 使用者指南」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
## CloudTrail 中 SCEP 資訊的連接器
當您建立帳戶 AWS 帳戶 時,您的 上會啟用 CloudTrail。在 Connector for SCEP 中發生活動時,該活動會與**事件歷史記錄**中的其他 AWS 服務事件一起記錄在 CloudTrail 事件中。您可以在 中檢視、搜尋和下載最近的事件 AWS 帳戶。如需詳細資訊,請參閱[「使用 CloudTrail 事件歷史記錄檢視事件」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
如需持續記錄 中的事件 AWS 帳戶,包括 Connector for SCEP 的事件,請建立追蹤。*線索*能讓 CloudTrail 將日誌檔案交付至 Amazon S3 儲存貯體。依預設,當您在主控台中建立追蹤時,該追蹤會套用至所有的 AWS 區域。線索會記錄 AWS 分割區中所有區域的事件,並將日誌檔案傳送到您指定的 Amazon S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。如需詳細資訊,請參閱下列內容:
+ [建立追蹤的概觀](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支援的服務和整合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [設定 CloudTrail 的 Amazon SNS 通知](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [接收多個區域的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[接收多個帳戶的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
CloudTrail 會記錄所有 Connector for SCEP 動作,並記錄在 [Connector for SCEP API 參考](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/Welcome.html)中。例如,對 `CreateConnector`、`GetConnector` 和 `CreateChallenge` 動作發出的呼叫會在 CloudTrail 記錄檔案中產生專案。
每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:
+ 是否使用根或 AWS Identity and Access Management (IAM) 使用者登入資料提出請求。
+ 提出該請求時,是否使用了特定角色或聯合身分使用者的暫時安全憑證。
+ 請求是否由其他 AWS 服務提出。
+ 請求是否由 SCEP 用戶端裝置提出。
如需詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 適用於 SCEP 管理事件的 連接器
Connector for SCEP 與 CloudTrail 整合,以記錄使用者、角色或服務在 Connector for SCEP AWS 中所做的 API 動作。您可以使用 CloudTrail 即時監控 Connector for SCEP API 請求,並將日誌存放在 Amazon Simple Storage Service、Amazon CloudWatch Logs 和 Amazon CloudWatch Events 中。Connector for SCEP 支援將下列動作記錄為 CloudTrail 日誌檔案中的事件:
+ [CreateChallenge](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_CreateChallenge.html)
+ [CreateConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_CreateConnector.html)
+ [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)
+ [GetChallengeMetadata](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengeMetadata.html)
+ [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)
+ [DeleteConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_DeleteConnector.html)
+ [DeleteChallenge](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_DeleteChallenge.html)
## CloudTrail 中 SCEP 資料事件的連接器
[資料事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events)提供有關在資源上執行或在資源中執行的資源操作的資訊,例如,當您的用戶端傳送 SCEP `GetCACaps` 訊息到連接器端點時。這些也稱為資料平面操作。資料事件通常是大量資料的活動。根據預設,CloudTrail 不會記錄任何資料事件,CloudTrail **事件歷史記錄**也不會記錄這些資料事件。
資料事件需支付額外的費用。如需 CloudTrail 定價的詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
您可以使用 CloudTrail 主控台 AWS CLI或 CloudTrail API 操作來記錄`AWS::PCAConnectorSCEP::Connector`資源類型的資料事件。如需如何記錄資料事件的詳細資訊,請參閱 *AWS CloudTrail 使用者指南*中的[使用 AWS 管理主控台 記錄資料事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console)和[使用 AWS Command Line Interface記錄資料事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI)。
下表列出您可以記錄資料事件的 Connector for SCEP 資源類型。**資料事件類型 (主控台)** 資料行會顯示從 CloudTrail 主控台上的**資料事件類型**清單中選擇的值。**resources.type 值**欄會顯示值,您會在使用 AWS CLI 或 CloudTrail APIs 設定進階事件選取器時指定此`resources.type`值。**記錄到 CloudTrail 的資料 API** 資料行會針對資源類型顯示記錄到 CloudTrail 的 API 呼叫。
| 資料事件類型 (主控台) | resources.type 值 | 記錄到 CloudTrail 的資料 API |
| --- | --- | --- |
| 連接器 | AWS::PCAConnectorSCEP::Connector | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/logging-using-cloudtrail-c4scep.html) |
您可以設定進階事件選取器來篩選 `eventName`、`readOnly` 和 `resources.ARN` 欄位,以僅記錄對您重要的事件。下列範例是資料事件組態的 JSON 檢視,該組態僅記錄特定函數的事件。如需有關這些欄位的詳細資訊,請參閱《AWS CloudTrail API 參考**》中的 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)。
```
[
{
"name": "connector-scep-events",
"fieldSelectors": [
{
"field": "eventCategory",
"equals": [
"Data"
]
},
{
"field": "resources.type",
"equals": [
"AWS::PCAConnectorSCEP::Connector"
]
},
{
"field": "resources.ARN",
"equals": [
"arn:aws:pca-connector-scep:US West (N. California):111122223333:connector/11223344-1122-2233-3344-cae95a00d2a7"
]
}
]
}
]
```
## 範例項目
追蹤是一種組態,能讓事件以日誌檔案的形式交付到您指定的 Amazon S3 儲存貯體。CloudTrail 日誌檔案包含一或多個日誌專案。一個事件為任何來源提出的單一請求,並包含請求動作、請求的日期和時間、請求參數等資訊。CloudTrail 日誌檔並非依公有 API 呼叫的堆疊追蹤排序,因此不會以任何特定順序出現。
**範例 1:管理事件、 `CreateConnector`**
以下範例顯示的是展示 `CreateConnector` 動作的 CloudTrail 日誌項目。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "my-user-name"
},
"attributes": {
"creationDate": "2024-08-16T17:46:41Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-08-16T17:48:07Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "CreateConnector",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ClientToken": "11223344-2222-3333-4444-666555444555",
"CertificateAuthorityArn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"
},
"responseElements": {
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**範例 2:管理事件、 `CreateChallenge`**
以下範例顯示的是展示 `CreateChallenge` 動作的 CloudTrail 日誌項目。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "user-name"
},
"attributes": {
"creationDate": "2024-08-16T17:46:41Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-08-16T17:47:52Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "CreateChallenge",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ClientToken": "11223344-2222-3333-4444-666555444555"
},
"responseElements": {
"Challenge": {
"Arn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/9cac40bc-acba-412e-9a24-f255ef2fe79a/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"CreatedAt": 1723830472.942,
"Password": "***",
"UpdatedAt": 1723830472.942
}
},
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**範例 3:管理事件、 `GetChallengePassword`**
以下範例顯示的是展示 `GetChallengePassword` 動作的 CloudTrail 日誌項目。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "905418114790",
"userName": "111122223333"
},
"attributes": {
"creationDate": "2024-08-16T17:55:01Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "signin.amazonaws.com"
},
"eventTime": "2024-08-16T17:55:54Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "GetChallengePassword",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ChallengeArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:challenge/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**範例 4:資料事件、 `PkiOperationPost`**
下列範例顯示示範失敗`PkiOperationPost`呼叫的 CloudTrail 日誌項目。日誌包含錯誤代碼和錯誤訊息,以及失敗的說明。
```
{
"eventVersion": "1.10",
"userIdentity": {
"type": "FederatedUser",
"principalId": "111122223333",
"accountId": "111122223333"
},
"eventTime": "2024-08-16T17:40:09Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "PkiOperationPost",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"errorCode": "BadRequestException",
"errorMessage": "The certificate authority is not in a valid state for issuing certificates (Service: AcmPca, Status Code: 400, Request ID: a1b2c3d4-5678-90ab-cdef-EXAMPLE55555)",
"requestParameters": null,
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::PCAConnectorSCEP::Connector",
"ARN": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "905418114790",
"eventCategory": "Data",
"tlsDetails": {
"clientProvidedHostHeader": "111122223333-a1b2c3d4-5678-90ab-cdef-EXAMPLE33333.enroll.pca-connector-scep.us-east-1.api.aws"
}
}
```
# 故障診斷 AWS 私有憑證授權單位 Connector for SCEP 問題
您可能需要疑難排解與 Connector for SCEP 實作相關的問題。本章提供有關服務傳送的 HTTP 和用戶端錯誤的詳細資訊。
**Topics**
+ [從 Connector for SCEP 疑難排解 HTTP 錯誤](c4scep-troubleshoot-http-error.md)
+ [Connector for SCEP 用戶端錯誤故障診斷](troubleshoot-connector-scep-client-errors.md)
# 從 Connector for SCEP 疑難排解 HTTP 錯誤
當您的用戶端觸發 Connector for SCEP 資料平面 API 動作並導致錯誤時,Connector for SCEP 會傳送 HTTP 回應碼給請求用戶端,其中包含錯誤的相關資訊。
除了直接提供給用戶端的服務回應之外,您還可以使用 [Monitor Connector for SCEP](c4scep-monitoring-overview.md)一節所述的監控工具來檢視和偵錯導致 HTTP 錯誤的錯誤。
以下是 服務傳回給 SCEP 用戶端的錯誤訊息、潛在原因,以及您可以採取的步驟來解決問題。
## HTTP 400 錯誤請求
HTTP 400 回應碼表示 Connector for SCEP 因明顯的用戶端錯誤而無法處理請求,例如請求中的資料遺失或無效。如果錯誤是由 SCEP-protocol 特定錯誤造成,Connector for SCEP 會將 SCEP 回應作為二進位包含在訊息中。Connector for SCEP APIs 可以傳回 400 個回應,原因如下。
| 回應標頭 (x-amzn-ErrorType) | 錯誤訊息 (x-amzn-ErrorMessage) | 根本原因 | 修補 | 包含 SCEP 回應? |
| --- | --- | --- | --- | --- |
| LimitExceededException | 超過憑證授權單位發行限制。 | 與連接器相關聯的私有憑證授權機構 (CA) 已超過其可發行的憑證數量配額。 | SCEP 連接器在生命週期內只能連接到一個私有 CA。如果您已用盡私有 CA 的限制,請建立新的連接器或請求增加配額。如需私有 CA 配額的詳細資訊,請參閱[AWS 私有憑證授權單位 配額](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)。 | 否 |
| ValidationException | 請求必須包含 base64。 | Connector for SCEP 無法處理 HTTP GET 請求,因為內文不是有效的 Base64。 | 如果可能,請將您的用戶端設定為使用 HTTP POST 訊息,而非 HTTP GET 訊息。如果您必須使用 HTTP GET,訊息必須使用 Base64 格式。如果您的用戶端與這些要求不相容,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
| ValidationException | 憑證授權機構未處於作用中狀態。 | 與連接器相關聯的私有 CA 處於非作用中狀態。 | 重新啟用私有 CA。如需相關資訊,請參閱[在 中更新私有 CA AWS 私有憑證授權單位](PCAUpdateCA.md)。 | 否 |
| ValidationException | 憑證授權單位憑證有效性必須至少為從今天起算一年。 | 與一般用途連接器相關聯的私有 CA 必須具有從今天起算一年的有效期間。 | 重新發行有效期間大於自今天起算一年的憑證。如需管理憑證的資訊,請參閱 [管理私有 CA 生命週期](ca-lifecycle.md)。 | 否 |
| ValidationException | 請求中包含的憑證已過期。 | 服務接收時,用戶端裝置在每個交易上產生的暫時性憑證已過期。 | 您的用戶端裝置很可能未正確設定其時間設定,而且正在建立日期晚於即時的憑證。如果您無法解決此問題,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
| ValidationException | 請求包含無效的密碼編譯訊息語法。 | 服務無法解碼 SCEP 請求訊息。 | 檢查您的 SCEP 訊息是否符合 [SCEP RFC 8894 ](https://www.rfc-editor.org/rfc/rfc8894.html)中定義的密碼編譯訊息語法。如果您無法解決此問題,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
| ValidationException | 連接器未處於作用中狀態。 | 連接器的狀態為非**作用中**。 | 您可以在 主控台或 API 中的狀態欄位中找到連接器[的狀態](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_Connector.html#:~:text=Required%3A%20No-,StatusReason,-Information%20about%20why)。連接器的狀態可以是**建立**、**作用中**、**刪除**或**失敗**。如果正在**建立**狀態,請稍後嘗試您的請求。如果狀態**失敗**,請檢視故障診斷問題的狀態原因,然後建立新的連接器。 | 否 |
| ValidationException | 請求中必須包含有效的憑證。 | 來自用戶端的請求訊息中包含的暫時性憑證遺失或無效。 | 與 SCEP 相容的用戶端必須提供自我簽署的憑證來驗證自己。如果您的用戶端無法提供所需的自我簽署憑證,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
| ValidationException | 請求 URI 無效。 | 連接器 SCEP 無法剖析請求,因為請求的 URI 路徑或查詢無效。 | 管理員應驗證用戶端裝置的組態設定,通常透過行動裝置管理 (MDM) 系統進行管理。如需詳細資訊,請參閱[步驟 2:將連接器詳細資訊複製到 MDM 系統](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details)。 | 否 |
| ValidationException | 請求中需要一個主機標頭。 | 用戶端未在請求中提供有效的 HTTP 主機標頭,這是處理請求的必要項目。 | 需要 HTTP 主機標頭才能區分傳入不同連接器的請求。如果您的用戶端無法提供所需的 HTTP 主機標頭,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
| ValidationException | 無法解碼請求。請傳送有效的 SCEP 請求。 | 服務無法解碼和處理用戶端傳送的加密訊息語法 (CMS) 請求。 | 如果您的用戶端無法實作 SCEP,請記下回應中的請求 ID (`x-amzn-requestid`),並聯絡 [AWS 支援](https://aws.amazon.com/contact-us/)。 | 否 |
| ValidationException | 回應無法使用衍生自請求的值進行編碼。請傳送有效的 SCEP 請求。 | 服務無法編碼 SCEP 回應。 | 當服務無法使用提供的請求者憑證來正確編碼 SCEP 回應訊息時,通常會發生此問題。例如,如果請求者憑證具有 SCEP 連接器不支援的橢圓曲線數位簽章演算法 (ECDSA) 金鑰,就可能會發生這種情況。 如果您遇到此問題,請先將 MDM 或 SCEP 用戶端設定為使用 RSA。如果您仍然無法解決問題,請記下回應中的請求 ID (`x-amzn-requestid`),並聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
| ValidationException | 不支援的演算法: | 請求已由不支援的密碼編譯演算法簽署或加密。 | 我們的服務不支援特定過時且較弱的密碼編譯演算法。此資訊會透過 `GetCACaps`請求傳達給用戶端。不過,有些用戶端可能不會使用此方法來檢查支援的演算法。 如果您的用戶端似乎與我們的服務支援的密碼編譯演算法不相容,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
| ValidationException | 不支援的 PkiOperation messageType。 | 請求訊息包含無效的`PkiOperation`訊息類型,且服務無法處理。 | 我們的服務僅支援 RFC 8894 中定義的 SCEP 通訊協定訊息類型子集。具體而言,我們辨識並處理下列訊息類型:CertRep、PKCSReq、GetCert、GetCRL 和 CertPoll。 我們透過 GetCACaps 方法將支援的訊息類型傳達給用戶端。不幸的是,有些用戶端可能並未使用此方法,而且可能不符合我們服務的功能。 如果您的用戶端似乎與我們的服務支援的 SCEP 訊息類型不相容,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/)。 | 否 |
| BadRequestException | 挑戰密碼無效。 | 用戶端提供的挑戰密碼對已聯絡的服務端點及其相關聯的連接器無效。挑戰密碼是 SCEP 通訊協定中定義的必要安全措施,以確保只有授權的用戶端才能存取服務。 | 請確定您的用戶端在請求中提供正確的挑戰密碼。您可以在 主控台或 [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html) API 的連接器詳細資訊中找到 。如需詳細資訊,請參閱[步驟 2:將連接器詳細資訊複製到 MDM 系統](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details)。 | 是 |
| BadRequestException | 憑證簽署請求中需要一個挑戰密碼。 | 用戶端在請求中提供零或多個挑戰密碼。 | 請確定您的用戶端在其請求中提供了一個挑戰密碼。您可以在 主控台或透過 [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html) API 在連接器的詳細資訊中找到挑戰密碼。如需詳細資訊,請參閱[步驟 2:將連接器詳細資訊複製到 MDM 系統](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details)。 | 是 |
| BadRequestException | 連接器無法存取 Azure。 | Connector for Microsoft Intune 透過 Microsoft Intune 授權用戶端請求。這需要您授予 Connector for SCEP 存取 Azure 資源的許可。 | 設定 中詳述的許可[步驟 1:授予 AWS 私有 CA 許可以使用您的 Microsoft Entra ID 應用程式步驟 1:授予 AWS 私有 CA 許可以使用您的 Microsoft Entra ID 應用程式](connector-for-scep-intune.md#connector-for-scep-intune-configure-pca)。 | 是 |
| BadRequestException | Azure 應用程式無法存取 來執行 。 | Connector for Microsoft Intune 透過 Microsoft Intune 授權用戶端請求。這需要您授予 Connector for SCEP 存取 Azure 資源的許可。 | 設定 中詳述的許可[步驟 1:授予 AWS 私有 CA 許可以使用您的 Microsoft Entra ID 應用程式步驟 1:授予 AWS 私有 CA 許可以使用您的 Microsoft Entra ID 應用程式](connector-for-scep-intune.md#connector-for-scep-intune-configure-pca)。 | 是 |
| BadRequestException | 找不到 Azure 應用程式。 | Connector for Microsoft Intune 透過 Microsoft Intune 授權用戶端請求。此錯誤表示您的 Microsoft Entra ID 中沒有應用程式註冊,或連接器的 Intune 詳細資訊設定錯誤。 | 請遵循 [設定適用於 SCEP 連接器的 Microsoft Intune設定 Microsoft Intune](connector-for-scep-intune.md)主題中的指引。 | 是 |
| BadRequestException | Intune 憑證簽署請求驗證失敗。原因: | Connector for Microsoft Intune 透過 Microsoft Intune 授權用戶端請求。此錯誤訊息表示 Intune 驗證程序失敗,並提供對應的 Intune 錯誤碼。 | 請遵循 [設定適用於 SCEP 連接器的 Microsoft Intune設定 Microsoft Intune](connector-for-scep-intune.md)主題中的指引。如果您的問題仍然存在,請聯絡 Microsoft Support。 | 是 |
| BadRequestException | 不支援的 PkiOperation messageType: 。 | 請求訊息包含無效的訊息類型,且服務無法處理。 | 我們的服務僅支援 RFC 8894 中定義的 SCEP 通訊協定訊息類型子集。具體而言,我們辨識並處理下列訊息類型:CertRep、PKCSReq、GetCert、GetCRL 和 CertPoll。 我們透過 GetCACaps 方法將支援的訊息類型傳達給用戶端。不幸的是,有些用戶端可能並未使用此方法,而且可能不符合我們服務的功能。 如果您的用戶端似乎與我們的服務支援的 SCEP 訊息類型不相容,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/)。 | 是 |
| BadRequestException | 不支援金鑰演算法或長度。 | 服務不支援憑證簽署請求中包含的公有金鑰。 | 我們的服務僅支援高達 16,384 位元的標準 RSA 金鑰,以及高達 521 位元的 ECDSA 金鑰。如果您的用戶端需要使用目前不支援的演算法,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 是 |
## HTTP 401 未授權
401 未經授權的回應狀態碼表示用戶端請求尚未完成,因為其缺少所請求資源的有效身分驗證憑證。
| 回應標頭 (x-amzn-ErrorType) | 錯誤訊息 (x-amzn-ErrorMessage) | 根本原因 | 修補 | 包含 SCEP 回應? |
| --- | --- | --- | --- | --- |
| AccessDeniedException | 連接器無法存取憑證授權單位。 | Connector for SCEP 無法存取連接器相關聯的私有 CA。 | 使用 與 Connector for SCEP 共用您的私有 CA AWS Resource Access Manager。 | 否 |
| AccountDoesNotExistException | AWS 帳戶不存在。 | Connector for SCEP 資源不再存在。 | 擁有目標資源的帳戶已刪除。如果錯誤地這麼做,[AWS 支援](https://aws.amazon.com/contact-us/)請在關閉後 90 天內聯絡 。 | 否 |
## 找不到 HTTP 404
HTTP 404 回應碼通常表示找不到您要尋找的資源。
| 回應標頭 (x-amzn-ErrorType | 錯誤訊息 (x-amzn-ErrorMessage) | 根本原因 | 修補 | 包含 SCEP 回應? |
| --- | --- | --- | --- | --- |
| ResourceNotFoundException | 憑證授權機構不存在。 | 連接器的關聯私有 CA 已刪除。 | 有一個寬限期,在此期間,如果私有憑證授權機構 (CA) 被錯誤刪除,則可以將其還原。如需詳細資訊,請參閱[還原私有 CA](PCARestoreCA.md)。 | 否 |
| ResourceNotFoundException | 具有端點 的連接器不存在。 | 用戶端裝置已嘗試連線到不屬於任何現有連接器的 URL。 | 請確定您的用戶端為連接器提供正確的端點。若要檢視連接器的 `Endpoint`,請呼叫 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) API,或在主控台的連接器詳細資訊頁面中檢視它。 | 否 |
## HTTP 409 衝突
HTTP 409 衝突回應表示與連接器相關聯的私有 CA 在啟動請求後已變更。
| 回應標頭 (x-amzn-ErrorType) | 錯誤訊息 (x-amzn-ErrorMessage) | 根本原因 | 修補 | 包含 SCEP 回應? |
| --- | --- | --- | --- | --- |
| ConflictException | 連接器自啟動請求以來已變更。 | 與連接器相關聯的私有 CA 已更新,觸發連接器內部憑證的輪換,用於透過 SCEP 與用戶端裝置通訊。 隨著新憑證的部署,此憑證輪換可能會在更新期間造成暫時性問題。不過,應該及時自動解決此錯誤。 | 請在幾分鐘後再次嘗試您的請求。如果問題無法解決,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
## HTTP 429 請求過多
Connector for SCEP 具有每個區域的帳戶層級配額。如果您超過對連接器的請求限制,您的請求將因 HTTP 429 錯誤而被拒絕。如果您需要增加配額,請參閱[AWS 私有憑證授權單位 端點和配額](https://docs.aws.amazon.com/general/latest/gr/pca.html)。
| 回應標頭 (x-amzn-ErrorType) | 錯誤訊息 (x-amzn-ErrorMessage) | 根本原因 | 修補 | 包含 SCEP 回應? |
| --- | --- | --- | --- | --- |
| ThrottlingException | 由於請求調節,因此請求遭到拒絕。 | 已向此連接器發出太多請求,觸發一些請求遭到拒絕。 隨著新憑證的部署,此憑證輪換可能會在更新期間造成暫時性問題。不過,應該及時自動解決此錯誤。 | 如果您超過對連接器的請求限制,您的請求將被拒絕。如果您需要增加配額,請參閱 [Connector for SCEP 端點和配額](https://docs.aws.amazon.com/general/latest/gr/pca.html)。 | 否 |
# Connector for SCEP 用戶端錯誤故障診斷
使用下列指引來疑難排解與 Connector for SCEP 相關的用戶端錯誤。
| 訊息範例 | 根本原因 | 解決方案 |
| --- | --- | --- |
| 不支援 ECDSA 金鑰 | 連接器連接到使用 ECDSA 金鑰而非 RSA 的私有 CA。雖然此服務支援 ECDSA 金鑰,但並非所有用戶端裝置都與此演算法相容。 | 請考慮使用 RSA 加密的私有 CA,而非 ECDSA。如果您建立使用 RSA 的私有 CA,則還需要建立新的連接器。連接器在生命週期內只能繫結至一個私有 CA。 |
| 加密或簽署憑證不存在 | 根據 RFC 8894,SCEP 服務會將中繼 CA 憑證傳回給用戶端。用戶端會使用這些憑證來執行加密和簽章驗證操作,做為 SCEP 通訊協定的一部分。 Connector for SCEP 使用相同的憑證進行加密和簽章驗證,這是常見的方法。不過,有些用戶端可能預期會有兩個不同的憑證。 | 如果您無法使用相容的用戶端,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 |