¿Qué es el servicio SCEP? ¿Cómo funciona el protocolo SCEP?

SCEP o Protocolo Simple de Inscripción de Certificados, es un protocolo de gestión de certificados de código abierto que automatiza la tarea de emisión de certificados. Infraestructura de clave pública (PKI) La emisión de certificados requiere un proceso de intercambio de información con una entidad de confianza. Autoridad de certificación (CA)Esto es necesario para autenticar la información proporcionada por el usuario, como el nombre de dominio y las identidades asociadas al certificado. Al automatizar este proceso, SCEP facilita y agiliza al equipo de TI la inscripción de certificados en dispositivos sin necesidad de intercambiar la información manualmente. Mediante una URL para intercambiar información y un secreto compartido para comunicarse con la CA, un dispositivo puede inscribirse fácilmente para obtener un certificado.

¿Cómo funciona SCEP?

1. URL de SCEP: La URL del Protocolo simple de inscripción de certificados permite que un dispositivo se comunique con la CA para obtener un certificado de inscripción.
2. Secreto compartido de SCEP: Se utiliza una contraseña segura que distingue entre mayúsculas y minúsculas como secreto compartido de SCEP entre la CA y el servidor SCEP para autenticar las identidades y los dominios asociados con el certificado de la CA.
3. Solicitud de firma de certificado SCEP: Tras configurar y compartir la puerta de enlace SCEP y el secreto compartido, respectivamente, los usuarios pueden crear y distribuir un perfil de configuración que permita a los dispositivos administrados inscribirse automáticamente en certificados enviando una solicitud de inscripción de certificado a la CA a través de la puerta de enlace SCEP. Tras la autenticación, se emitirá un certificado firmado para el dispositivo.
4. Certificado de firma de SCEP: El certificado firmado por SCEP se carga mediante Mobile Device Management (MDM), en el que se incluye toda la cadena de certificados (CA raíz, CA intermedia, certificado de entidad final).

Proceso de inscripción de dispositivos SCEP

Los siguientes pasos son necesarios para la inscripción del dispositivo SCEP en MDM:

1. Agregar URL de SCEP
2. Agregar secreto compartido de SCEP
3. Cargue el certificado SCEP, que debe estar firmado.
4. Establecer la configuración de SCEP.
5. Defina cualquier configuración de certificado específica de la aplicación.
6. Especifique el dispositivo que recibirá los certificados.

Después de la autenticación por parte de la CA, se implementará un certificado firmado en el dispositivo requerido.

Perfil de configuración del certificado SCEP

Al configurar un servidor SCEP, el administrador puede personalizar la implementación de SCEP configurando el número de propiedades de certificado disponibles en el perfil de configuración. Las propiedades del certificado se detallan a continuación:

• Nombre de la plantilla de certificado
• tipo de certificado
• Nombre del sujeto (esto se refiere a la entidad que solicita el certificado, puede ser una identificación de correo electrónico, un nombre de servidor o una dirección IP de la entidad).
• Periodo de validez del certificado (se refiere al tiempo durante el cual el certificado es válido, si no es revocado).
• Algoritmo hash
• Certificado de CA raíz
• Uso de la clave (esto se refiere al uso de la clave, ya sea para firma digital, cifrado de clave o ambos).
• Tamaño de la clave (esto se refiere al tamaño de la clave, por ejemplo, 1024 bits o 2048 bits)
• Nombre alternativo del sujeto (esto se relaciona con los detalles alternativos del sujeto como DNS, URI, UPN, etc.)

SCEP contra EST

EST significa Enrollment over Secure Transport (Inscripción sobre Transporte Seguro). Es la evolución de SCEP y utiliza Transport Layer Security (TLS) Para la autenticación de dispositivos del lado del cliente. Tanto SCEP como EST se utilizan para automatizar el proceso de inscripción de certificados, pero la diferencia radica en que SCEP utiliza el protocolo de secreto compartido y las CSR para la inscripción de certificados, mientras que EST utiliza TLS para la autenticación. EST utiliza TLS para transportar de forma segura los mensajes y los certificados, mientras que SCEP utiliza sobres PkcsPKIEnvelope para proteger los mensajes.

SCEP contra ACME

ACME significa Entorno de gestión automatizada de certificadosTanto SCEP como ACME son iguales en la gestión de certificados. ACME utiliza pares de claves, también conocidos como claves de autorización, para la validación de la CA y la organización. ACME instala la Herramienta de Gestión de Certificados para generar claves de autorización.

SCEP frente a CMP y CMC

CMP significa Protocolo de Gestión de Certificados (Certificate Management Protocol) y CMC significa CMS de Gestión de Certificados (Certificate Management CMS). Tanto SCEP como EST se utilizan para la inscripción y emisión de certificados, mientras que CMP y CMC se utilizan para la gestión de certificados, como la renovación, el estado y la revocación.

Conclusión

La API de SCEP Gateway se puede usar para distribuir certificados a todos los dispositivos administrados. Esta API permite que los dispositivos administrados se registren para obtener certificados fácilmente, pero también aumenta el riesgo de seguridad. Los dispositivos móviles que usan SCEP para... certificado digital La inscripción puede ser susceptible a un ataque de escalada de privilegios. EST es la evolución de SCEP, que es más seguro y utiliza TLS para la autenticación de dispositivos del lado del cliente.