Was ist der SCEP-Dienst? Wie funktioniert das SCEP-Protokoll?

SCEP oder Simple Certificate Enrollment Protocol ist ein Open-Source-Zertifikatsverwaltungsprotokoll, das für steht und die Aufgabe der Zertifikatsausstellung automatisiert. Public-Key-Infrastruktur (PKI) Die Ausstellung von Zertifikaten erfordert einen Prozess für den Informationsaustausch mit einem vertrauenswürdigen Zertifizierungsstelle (CA)Dies ist erforderlich, damit die vom Benutzer bereitgestellten Informationen wie Domänenname und mit dem Zertifikat verknüpfte Identitäten authentifiziert werden können. Durch die Automatisierung dieses Prozesses erleichtert SCEP dem IT-Team die Registrierung von Zertifikaten auf Geräten, ohne dass die Informationen manuell ausgetauscht werden müssen. Mithilfe einer URL zum Informationsaustausch und eines gemeinsamen Geheimnisses zur Kommunikation mit der Zertifizierungsstelle kann sich ein Gerät problemlos für ein Zertifikat registrieren.

Wie funktioniert SCEP?

1. SCEP-URL: Die URL des Simple Certificate Enrollment Protocol ermöglicht einem Gerät die Kommunikation mit der Zertifizierungsstelle, um ein Registrierungszertifikat zu erhalten.
2. Gemeinsames SCEP-Geheimnis: Ein sicheres Kennwort, bei dem die Groß- und Kleinschreibung beachtet wird, wird als gemeinsames SCEP-Geheimnis zwischen der Zertifizierungsstelle und dem SCEP-Server verwendet, um die mit dem CA-Zertifikat verknüpften Identitäten und Domänen zu authentifizieren.
3. SCEP-Zertifikatssignierungsanfrage: Nach der Einrichtung und Freigabe des SCEP-Gateways und des gemeinsamen Geheimnisses können Benutzer ein Konfigurationsprofil erstellen und verteilen, das verwalteten Geräten die automatische Registrierung für Zertifikate ermöglicht, indem sie über das SCEP-Gateway eine Zertifikatsregistrierungsanfrage an die Zertifizierungsstelle senden. Nach der Authentifizierung wird dem Gerät ein signiertes Zertifikat ausgestellt.
4. SCEP-Signaturzertifikat: Das SCEP-signierte Zertifikat wird vom Mobile Device Management (MDM) hochgeladen, in dem die gesamte Zertifikatskette (Root CA, Intermediate CA, End-Entity-Zertifikat) enthalten ist.

SCEP-Geräteregistrierungsprozess

Für die SCEP-Geräteregistrierung auf MDMs sind die folgenden Schritte erforderlich:

1. SCEP-URL hinzufügen
2. SCEP Shared Secret hinzufügen
3. Laden Sie das SCEP-Zertifikat hoch, das signiert werden muss.
4. Legen Sie die SCEP-Konfiguration fest.
5. Definieren Sie beliebige anwendungsspezifische Zertifikateinstellungen.
6. Geben Sie das Gerät an, das die Zertifikate erhalten soll.

Nach der Authentifizierung durch die CA wird ein signiertes Zertifikat auf dem erforderlichen Gerät bereitgestellt.

SCEP-Zertifikat-Konfigurationsprofil

Beim Einrichten eines SCEP-Servers kann der Administrator die SCEP-Implementierung anpassen, indem er die Anzahl der verfügbaren Zertifikateigenschaften im Zertifikatkonfigurationsprofil einstellt. Die Zertifikateigenschaften sind unten aufgeführt:

• Name der Zertifikatvorlage
• Art des Zertifikats
• Betreffname (dies bezieht sich auf die Entität, die das Zertifikat anfordert. Es kann sich um eine E-Mail-ID, einen Servernamen oder eine IP-Adresse der Entität handeln.)
• Gültigkeitsdauer des Zertifikats (dies bezieht sich auf die Zeit, für die das Zertifikat gültig ist, sofern es nicht widerrufen wird.)
• Hashing-Algorithmus
• Stammzertifizierungsstellenzertifikat
• Schlüsselverwendung (dies bezieht sich auf die Verwendung des Schlüssels, sei es für die digitale Signatur, die Schlüsselverschlüsselung oder beides.)
• Schlüsselgröße (bezieht sich auf die Größe des Schlüssels, z. B. 1024 Bit oder 2048 Bit)
• Alternativer Betreffname (dies bezieht sich auf die alternativen Details des Betreffs wie DNS, URI, UPN usw.)

SCEP vs. EST

EST steht für Enrollment over Secure Transport. Es ist die Weiterentwicklung von SCEP und nutzt Transport Layer Security (TLS) Für die clientseitige Geräteauthentifizierung. Sowohl SCEP als auch EST werden zur Automatisierung des Zertifikatregistrierungsprozesses verwendet. Der Unterschied besteht darin, dass SCEP das Shared Secret-Protokoll und CSRs zur Registrierung von Zertifikaten verwendet, während EST TLS zur Authentifizierung nutzt. EST verwendet TLS zum sicheren Transport der Nachrichten und Zertifikate, während SCEP PkcsPKIEnvelope-Umschläge zum Sichern der Nachrichten verwendet.

SCEP vs. ACME

ACME steht für Automatisierte ZertifikatsverwaltungsumgebungSCEP und ACME sind in der Zertifikatsverwaltung identisch. ACME verwendet Schlüsselpaare, auch Autorisierungsschlüssel genannt, zur Validierung der Zertifizierungsstelle und der Organisation. ACME installiert das Certificate Management Tool zur Generierung von Autorisierungsschlüsseln.

SCEP vs. CMP und CMC

CMP steht für Certificate Management Protocol und CMC für Certificate Management CMS. Sowohl SCEP als auch EST werden für die Registrierung und Ausstellung von Zertifikaten verwendet, während CMP und CMC für die Zertifikatsverwaltung wie Erneuerung, Status und Widerruf von Zertifikaten verwendet werden.

Fazit

Mit der SCEP Gateway API können Zertifikate an jedes verwaltete Gerät verteilt werden. Die SCEP Gateway API ermöglicht verwalteten Geräten die einfache Registrierung für Zertifikate, erhöht aber auch das Sicherheitsrisiko. Mobile Geräte, die SCEP für digitales Zertifikat Die Registrierung kann anfällig für einen Privilege Escalation Attack sein. EST ist die Weiterentwicklung von SCEP, das sicherer ist und TLS für die clientseitige Geräteauthentifizierung verwendet.