Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. PKI

NDES und SCEP erklärt: Das Rückgrat der automatisierten Zertifikatsregistrierung

Geschrieben vonParnashree Saha 11 Minuten
NDES und SCEP
Inhaltsverzeichnis

Da Unternehmen die Einführung von Zero Trust, Geräteauthentifizierung und Cloud-basierter Infrastruktur beschleunigen, werden traditionelle manuelle Prozesse immer wichtiger. Bescheinigung Die Registrierung ist nicht mehr skalierbar. Ob es um die Einbindung Tausender Laptops über Intune, die Ausstellung von Zertifikaten für den VPN-Zugang oder die Aktivierung der WLAN-Authentifizierung in globalen Niederlassungen geht – die automatisierte Zertifikatregistrierung ist unerlässlich.

Das ist wo SCEP (Simple Certificate Enrollment Protocol) und NDES (Netzwerkgeräte-Registrierungsdienst) spielen eine entscheidende Rolle in Microsoft PKI-Ökosystemen.

Trotz ihrer Bedeutung setzen viele Administratoren sie ein, ohne ihre Funktionsweise, Unterschiede oder die korrekte Absicherung vollständig zu verstehen. Falsch konfigurierte NDES-Server gehören nach wie vor zu den häufigsten Fehlern. PKI Im Rahmen von Sicherheitsüberprüfungen entdeckte Schwachstellen.

In diesem Artikel werden wir Folgendes aufschlüsseln:

  • Was SCEP ist und warum es immer noch wichtig ist
  • Wie NDES funktioniert Microsoft PKI
  • Reale Einsatzszenarien
  • Häufige Fehler und Sicherheitsrisiken
  • Bewährte Verfahren für moderne Unternehmensumgebungen

Was ist SCEP?

SCEP oder Simple Certificate Enrollment Protocol, ist ein Protokoll, das ursprünglich von Cisco entwickelt wurde, um die Zertifikatsregistrierung für Netzwerkgeräte zu automatisieren, die nicht ohne Weiteres in Active Directory eingebunden werden können.

Im Gegensatz zu herkömmlichen AD-basierten Registrierungsmethoden ermöglicht SCEP Geräten Folgendes:

  • Zertifikate über HTTP/ anfordernHTTPS
  • Authentifizieren Sie sich mithilfe eines gemeinsamen Geheimnisses oder einer Herausforderung.
  • Automatischer Abruf signierter Zertifikate

SCEP wurde für Geräte wie beispielsweise folgende entwickelt:

  • Router und Switches
  • VPN-Gateways
  • Netzwerkgeräte
  • IoT-Geräte
  • Mobile Geräte

Im Laufe der Zeit hat es sich zum De-facto-Standard für die Zertifikatsregistrierung in Geräteverwaltungsplattformen entwickelt, einschließlich Microsoft Intune und viele MDM-Lösungen.

Was ist NDES?

NDES (Netzwerkgeräte-Registrierungsdienst) ist die Implementierung von SCEP durch Microsoft.

Es fungiert als Brücke zwischen Geräten und der Microsoft-Zertifizierungsstelle und ermöglicht es Geräten, die sich nicht über Active Directory authentifizieren können, dennoch sicher Zertifikate zu erhalten.

Vereinfacht ausgedrückt funktioniert es so:

  1. Die Geräte kommunizieren über SCEP mit NDES.
  2. NDES validiert die Anfrage
  3. NDES leitet die Anfrage an Microsoft CA weiter.
  4. Die Zertifizierungsstelle hat das Zertifikat ausgestellt
  5. NDES sendet es zurück an das Gerät.

Ohne NDES kann SCEP nicht mit Microsoft ADCS verwendet werden.

Warum NDES in der modernen PKI immer noch wichtig ist?

Manche Administratoren gehen davon aus, dass SCEP veraltet ist, weil es vor Jahrzehnten entwickelt wurde. Das Gegenteil ist jedoch der Fall: Die Nutzung von SCEP hat aufgrund moderner Trends im Gerätemanagement dramatisch zugenommen.

Werfen wir einen Blick auf einige Anwendungsfälle, in denen NDES weit verbreitet ist:

1. Microsoft Intune-Gerätezertifikatregistrierung

Organisationen, die Intune einsetzen, verlassen sich häufig auf NDES zur Ausstellung von Geräteauthentifizierungszertifikaten, Wi-Fi-Zertifikaten, VPN-Zertifikaten, E-Mail-Authentifizierungszertifikaten usw.

Ohne NDES kann Intune keine Zertifikate von lokalen ADCS ausstellen..

2. Client-Authentifizierungszertifikate

NDES wird häufig verwendet, um Client-Authentifizierungszertifikate für Windows Always-On VPN, VPN-Clients von Drittanbietern, hybride Remote-Access-Architekturen usw. auszustellen.

Dies ermöglicht eine passwortlose VPN-Authentifizierung, die an die Geräteidentität gekoppelt ist.

3. IoT- und Netzwerkgeräteregistrierung

NDES ermöglicht die Ausstellung von Zertifikaten für Drucker, Kameras, Fertigungssysteme und Netzwerkgeräte.

Diese Geräte können oft nicht in Active Directory eingebunden werden, wodurch SCEP die einzige skalierbare Option darstellt.

Funktionsweise von NDES: Architekturübersicht

Eine typische NDES-Implementierung umfasst vier Komponenten:

  1. Das anfragende Gerät (MDM-verwaltetes Gerät oder Netzwerkgerät)
  2. Der NDES-Server
  3. Das Microsoft Zertifizierungsstelle (CA)
  4. Die Zertifikatvorlage ist für SCEP konfiguriert.
Wie NDES funktioniert
Funktionsweise von NDES: Architekturübersicht

Der Prozess funktioniert wie folgt:

Schritt 1: Geräteanmeldungsanfrage: Das Gerät kontaktiert den NDES-Endpunkt über SCEP.

Schritt 2: NDES gibt ein Challenge-Passwort aus: NDES generiert ein Einmalpasswort, das zur Validierung der Anfrage verwendet wird.

Schritt 3: Gerät übermittelt Zertifikatsanforderung: Das Gerät übermittelt seine Zertifikatsanforderung zusammen mit der Herausforderung.

Schritt 4: NDES übermittelt die Anfrage an die Zertifizierungsstelle: NDES leitet die Anfrage mithilfe einer vorgegebenen Vorlage an die Microsoft-Zertifizierungsstelle weiter.

Schritt 5: Ausstellung des Zertifikats: Die Zertifizierungsstelle unterzeichnet das Zertifikat und sendet es an NDES zurück.

Schritt 6: Gerät ruft Zertifikat ab: Das Zertifikat wird an das anfragende Gerät zurückgesendet.

Häufige NDES-Fehlkonfigurationen, die bei Sicherheitsbewertungen festgestellt wurden

Meine Erfahrung bei PKI-Bewertungen zeigt, dass immer wieder dieselben Probleme auftreten. Sprechen wir heute über einige davon.

  1. NDES direkt dem Internet ausgesetzt: NDES-Endpunkte laufen häufig auf IIS und können ungeschützt extern veröffentlicht werden. Dies ermöglicht Angreifern die Zertifikatsregistrierung, das Auflisten von Vorlagen und die Ausnutzung von IIS-Schwachstellen. NDES sollte daher stets durch Anwendungsgateways und rollenbasierte Zugriffsregeln geschützt werden.
  2. Überprivilegierte ServicekontenNDES verwendet ein Dienstkonto, um Zertifikate von der Zertifizierungsstelle anzufordern. Verfügt dieses Konto über zu hohe Berechtigungen, könnten Angreifer selbst Zertifikate ausstellen. Dieses Risiko ist besonders gravierend, da Zertifikate zur Authentifizierung verwendet werden können.
  3. Schwache Template-Konfiguration: Die für SCEP verwendeten Vorlagen sind mitunter so konfiguriert, dass sie den Export privater Schlüssel ermöglichen, übermäßig weitreichende Nutzungsrechte gewähren und Zertifikate ohne Genehmigungskontrollen ausstellen. Solche Fehlkonfigurationen können zu Identitätsdiebstahl führen.
  4. Mangelnde Überwachung und Protokollierung: Viele Organisationen setzen NDES ein, überwachen es aber nie. Ohne ordnungsgemäße Überwachung und Protokollierung bleibt die Ausstellung unberechtigter Zertifikate unbemerkt, der Missbrauch von Registrierungen kann nicht erkannt werden und die Reaktion auf Sicherheitsvorfälle wird erschwert.

Bewährte Sicherheitsverfahren für NDES-Implementierungen

Um NDES in modernen Umgebungen zu gewährleisten, sollten Organisationen einige bewährte Vorgehensweisen befolgen.

1. NDES-Server isolieren

NDES sollte niemals direkt auf dem CA installiert werden.

Stattdessen sollten Sie es einsetzen:

  • In einem dedizierten DMZ-Segment
  • Hinter einem Reverse-Proxy oder Anwendungsgateway
  • Bei eingeschränktem Netzwerkzugang zur CA

2. Vorlagenberechtigungen einschränken

SCEP-Vorlagen sollten:

  • Nur erforderliche EKUs zulassen
  • Beschränken Sie die Formate der Betreffnamen
  • Deaktivieren Sie nach Möglichkeit den Export des privaten Schlüssels.

3. Überwachung der Zertifikatsausstellung

Organisationen sollten:

  • SCEP-Anfragen protokollieren
  • Nutzung der Überwachungsvorlage
  • Warnung bei ungewöhnlich hohem Anmeldeaufkommen

Dies ist besonders wichtig für Vorlagen mit hohen Berechtigungen.

4. Härtung der IIS-Konfiguration

Da NDES auf IIS läuft, ist Folgendes zu beachten:

  • Deaktivieren Sie nicht verwendete Module
  • Erzwingen TLS 1.2 oder höher
  • Sicherheitsheader anwenden
  • Patchen Sie den Server regelmäßig.

Weitere Informationen zu bewährten Sicherheitsverfahren für die NDES-Implementierung finden Sie im Blog: Bewährte Methoden für die NDES-Sicherheit

Wo SCEP und NDES ihre Grenzen erkennen

Trotz ihrer weiten Verbreitung wurden SCEP und NDES ursprünglich nicht für die heutigen Cloud-nativen Umgebungen konzipiert.

Bei modernen Implementierungen treten häufig verschiedene Herausforderungen auf:

Kontext mit eingeschränkter Sicherheit

SCEP wurde auf Einfachheit ausgelegt, bietet daher nur begrenzte Möglichkeiten zur Identitätsprüfung. Um eine sichere Geräteauthentifizierung zu gewährleisten, müssen häufig zusätzliche Kontrollmechanismen implementiert werden.

Betriebskomplexität

NDES-Implementierungen erfordern:

  • Dedizierte Server
  • IIS-Härtung
  • Überlegungen zur Netzwerkexposition
  • Vorlagenkonfigurationsverwaltung
  • Dies führt zu einem erhöhten operativen Aufwand, insbesondere in Hybrid- oder Multi-Cloud-Umgebungen.
  • Skalierungsherausforderungen

SCEP eignet sich zwar gut für Endgeräte, ist aber weniger geeignet für dynamische Workloads wie Container, Microservices oder kurzlebige Cloud-Instanzen. Diese modernen Workloads erfordern schnellere Zertifikatsausstellungszyklen und stärkere Mechanismen zur Identitätsprüfung.

Das moderne Framework zur Automatisierung von Zertifikaten: ACME

ACMEDie automatisierte Zertifikatsverwaltungsumgebung (Automated Certificate Management Environment, ACE) wurde entwickelt, um eine vollständig automatisierte Zertifikatsverwaltung zu ermöglichen. Zertifikatslebenszyklusverwaltung mit minimalem menschlichen Eingriff.

Im Gegensatz zu SCEP wurde ACME für moderne Umgebungen entwickelt und unterstützt:

  • Automatisierte Zertifikatsausstellung
  • Automatische Verlängerung
  • API-gesteuerte Workflows
  • Mechanismen zur Identitätsprüfung

ACME wird häufig für öffentliche Zwecke verwendet. TLS-ZertifikateUnternehmen setzen es jedoch zunehmend intern für Workload-Identitäten ein.

Dies macht es besonders wertvoll für:

  • DevOps Pipelines
  • Kubernetes-Cluster
  • Cloud-native Dienste
  • Dienst-zu-Dienst-Authentifizierung

Die Unterstützung von ACME für kurzlebige Zertifikate passt gut zu den Zero-Trust-Prinzipien.

Vergleich von SCEP, NDES und ACME in der Enterprise-PKI

Jede Technologie dient einem anderen Zweck. SCEP bietet ein einfaches Registrierungsprotokoll, das sich für Endgeräte eignet. NDES ermöglicht Microsoft PKI-Umgebungen die Unterstützung der SCEP-basierten Registrierung. ACME führt moderne Automatisierungsfunktionen ein, die auf dynamische Infrastrukturen zugeschnitten sind. Unternehmen nutzen sie häufig gemeinsam, anstatt sich für nur eine zu entscheiden. Zum Beispiel:

  • SCEP/NDES für Gerätezertifikate
  • ACME für Server- und Workload-Zertifikate
  • Traditionelle AD-Registrierung für in die Domäne eingebundene Systeme

Dieser mehrstufige Ansatz ermöglicht es Unternehmen, ihre Infrastruktur schrittweise zu modernisieren, ohne sie zu beeinträchtigen.

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

Praxisbeispiel: Hybride Unternehmensbereitstellung

Betrachten wir ein Unternehmen, das gleichzeitig Zero Trust einführt und in die Cloud migriert.

Sie könnten folgende Vorgehensweise planen:

  • NDES ist in Intune integriert, um Gerätezertifikate zu verwalten.
  • ACME-basierte Ausgabe für Container-Workloads
  • Automatische ADCS-Registrierung für interne Server

Dieses Hybridmodell ermöglicht es ihnen, die Kompatibilität mit bestehenden Systemen aufrechtzuerhalten und gleichzeitig das Zertifikatslebenszyklusmanagement zu modernisieren.

Zudem verringert es die Abhängigkeit von Passwörtern und stärkt die identitätsbasierte Zugriffskontrolle in der gesamten Umgebung.

Wie man die richtige Anmeldemethode auswählt

Die richtige Vorgehensweise hängt von der Art der Identitäten ab, die Sie verwalten.

Wenn Ihr Fokus auf Endbenutzergeräten oder Netzwerkgeräten liegt, bleibt SCEP mit NDES praktikabel und wird weitgehend unterstützt.

Wenn Ihr Fokus auf modernen Workloads oder stark automatisierten Umgebungen liegt, bietet ACME eine stärkere Integration und Skalierbarkeit.

Die meisten Unternehmen werden beides im Zuge ihrer Umstellung auf Cloud-native Sicherheitsmodelle benötigen.

Die Zukunft der Unternehmenszertifikatsanmeldung

Zertifikatsbasierte Authentifizierung entwickelt sich rasant zum Standardmechanismus für die Absicherung von Unternehmensumgebungen. Organisationen streben daher folgende Schritte an:

  • Passwortlose Authentifizierung
  • Durchsetzung der Geräteidentität
  • Zero-Trust-Zugriffsmodelle
  • Cloud-native Architektur

Die Automatisierung der Zertifikatserstellung wird zu einer zentralen Sicherheitsfunktion und nicht mehr zu einer Nischenfunktion der PKI.

SCEP und NDES werden voraussichtlich weiterhin für die Geräteregistrierung verwendet, während die Nutzung von ACME für Workload-Identitäten und die Automatisierung der Infrastruktur weiter zunimmt.

Die zentrale Herausforderung für Sicherheitsteams besteht nicht darin, das eine Protokoll dem anderen vorzuziehen, sondern eine PKI-Strategie zu entwickeln, die alle Protokolle kohärent integriert.

Wie kann Encryption Consulting helfen?

Encryption Consulting verfügt über umfangreiche Erfahrung in der Bereitstellung von End-to-End-Lösungen. PKI-Lösungen für Unternehmen und Behörden. Wir bieten sowohl professionelle Dienstleistungen als auch unsere Automatisierungsplattform an (CertSecure Manager), um sicherzustellen, dass Ihre PKI sicher, belastbar und zukunftsfähig ist.

PKI-Dienste

Umfassende Beratungs-, Design- und Implementierungsdienstleistungen, die Organisationen beim Aufbau, der Modernisierung und der Verwaltung sicherer Public-Key-Infrastrukturen unterstützen.

Projektplanung

Wir analysieren Ihre kryptografische Umgebung, überprüfen PKI-Konfigurationen, Abhängigkeiten und Anforderungen und fassen die Ergebnisse in einem strukturierten, vom Kunden genehmigten Projektplan zusammen.

CP/CPS-Entwicklung

In der nächsten Phase entwickeln wir die Zertifizierungsrichtlinie (CP) und die Zertifizierungspraxisbeschreibung (CPS) gemäß RFC#3647. Diese Dokumente werden an die regulatorischen, sicherheitsrelevanten und betrieblichen Anforderungen Ihrer Organisation angepasst.

PKI-Design und -Implementierung

Wir entwerfen und implementieren robuste PKI-Infrastrukturen.einschließlich Offline-Root-CAs, ausstellenden CAs, NDES-Servern, HSM-Integration usw., abhängig von Die Bedürfnisse des Kunden stehen im Mittelpunkt. Zu den Leistungen gehören ein PKI-Designdokument, Anleitungen für den Aufbau, Skripte für die Implementierungszeremonie und Systemkonfigurationen. Nach der Implementierung führen wir umfassende Tests, Validierungen, Feinabstimmungen und Schulungen durch, um Ihr Team optimal zu unterstützen.

Business Continuity und Disaster Recovery

Im Anschluss an die Implementierung entwickeln und setzen wir Strategien für Geschäftskontinuität und Notfallwiederherstellung um, führen Failover-Tests durch und dokumentieren die betrieblichen Arbeitsabläufe für die gesamte PKI- und HSM-Infrastruktur, unterstützt durch einen umfassenden PKI-Betriebsleitfaden.

Laufender Support und Wartung (optional)

Nach der Implementierung bieten wir ein abonnementbasiertes Jahres-Supportpaket mit umfassender Abdeckung für PKI-, CLM- und HSM-Komponenten. Dieses beinhaltet Incident Response, Fehlerbehebung, Systemoptimierung, Zertifikatslebenszyklusmanagement, CP/CPS-Updates, Schlüsselarchivierung, HSM-Firmware-Upgrades, Audit-Protokollierung und Patch-Management.

Dieser Ansatz stellt sicher, dass Ihre PKI-Infrastruktur nicht nur sicher und konform, sondern auch skalierbar, belastbar und vollständig auf Ihre langfristigen betrieblichen und regulatorischen Ziele abgestimmt ist. 

Zertifikatsverwaltung

Verhindern Sie Zertifikatsausfälle, optimieren Sie IT-Vorgänge und erreichen Sie Agilität mit unserer Zertifikatsverwaltungslösung.

Demo buchen

CertSecure Manager 

CertSecure Manager von Encryption Consulting ist eine Lösung zur Lebenszyklusverwaltung von Zertifikaten, die den gesamten Lebenszyklus vereinfacht und automatisiert, sodass Sie sich auf die Sicherheit statt auf Erneuerungen konzentrieren können.

Automatisierung für kurzlebige Zertifikate: Da ACME- und 90-Tage-/47-Tage-TLS-Zertifikate immer mehr zum Standard werden, ist die manuelle Verlängerung keine praktikable Option mehr. CertSecure Manager automatisiert Registrierung, Verlängerung und Bereitstellung, um sicherzustellen, dass Zertifikate niemals unbemerkt ablaufen.

Nahtlose DevOps- und Cloud-Integration: Zertifikate können direkt in Webserver und Cloud-Instanzen bereitgestellt werden und integrieren sich in moderne Protokollierungstools wie Datadog, Splunk, ITSM-Tools wie ServiceNow und DevOps-Tools wie Terraform und Ansible.

Unterstützung mehrerer Zertifizierungsstellen: Viele Organisationen nutzen mehrere Zertifizierungsstellen (interne Microsoft-Zertifizierungsstelle, öffentliche Zertifizierungsstellen wie DigiCert und GlobalSign usw.). CertSecure Manager integriert diese Quellen und bietet eine zentrale Oberfläche für die Ausstellung und das Lebenszyklusmanagement von Zertifikaten.

Einheitliche Ausstellungs- und Verlängerungsrichtlinien: CertSecure Manager setzt die Schlüssellängen, Algorithmen und Verlängerungsregeln Ihrer Organisation einheitlich für alle Zertifikate durch und automatisiert nicht nur die Verlängerungen bei mehreren Zertifizierungsstellen, sondern stellt auch sicher, dass jedes Zertifikat jederzeit Ihren Sicherheitsstandards entspricht.

Proaktive Überwachung und Erneuerungstests: Die kontinuierliche Überwachung in Kombination mit simulierten Erneuerungs-/Ablauftests stellt sicher, dass Sie Risiken erkennen, bevor Zertifikate Auswirkungen auf Produktionssysteme haben.

Zentrale Transparenz und Compliance: Ein übersichtliches Dashboard zeigt alle Zertifikate, Schlüssellängen, starken und schwachen Algorithmen sowie deren Ablaufdaten an. Prüfprotokolle und die Durchsetzung von Richtlinien vereinfachen die Einhaltung der Vorschriften. PCI DSS, HIPAAund andere Frameworks.

Wenn Sie sich immer noch fragen, wo und wie Sie mit der Sicherung Ihrer PKI beginnen sollen, unterstützt Sie Encryption Consulting mit seinen PKI-Supportdienste. Sie können auf uns als Ihren vertrauenswürdigen Partner zählen und wir werden Sie mit Klarheit, Vertrauen und praxisnaher Expertise durch jeden Schritt führen.  

Fazit

Enterprise PKI entwickelt sich von einem Backend-Sicherheitstool zu einer zentralen Identitätsinfrastruktur.

Das Verständnis der Wechselwirkungen zwischen SCEP, NDES und ACME ermöglicht es Unternehmen, skalierbare Zertifikatsverwaltungssysteme aufzubauen, die sowohl Legacy-Umgebungen als auch moderne Cloud-Workloads unterstützen.

Durch die Kombination traditioneller PKI-Grundlagen mit modernen Automatisierungsframeworks können Unternehmen eine stärkere identitätsbasierte Sicherheit erreichen, ohne die betriebliche Effizienz zu beeinträchtigen.

Entdecken Sie unsere

Verwandte Blogs

Modernisierung der PKI zur Minderung von TNFL

Modernisierung der PKI zur Minderung von TNFL

16. März 2026
PKI-Steuerung

Aufrechterhaltung der PKI-Kontrolle in einer Cloud-First-Welt

4. März 2026
Die Root-Programmrichtlinie von Chrome v1.6 und ihre Auswirkungen im Jahr 2026 verstehen

Die Root-Programmrichtlinie von Chrome v1.6 und ihre Auswirkungen im Jahr 2026 verstehen 

5. Februar 2026

Entdecken

Weitere Themen