Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. PKI

Wat is SCEP-service? Hoe werkt het SCEP-protocol?

Posted byHemant Bhatt 04 Minuten
Certificaatinschrijving bij SCEP en NDES
Inhoudsopgave

SCEP, of Simple Certificate Enrollment Protocol, is een open-source certificaatbeheerprotocol dat staat voor , en dat de taak van het uitgeven van certificaten automatiseert. Publieke sleutelinfrastructuur (PKI) Voor het uitgeven van certificaten is een proces voor informatie-uitwisseling met een vertrouwde Certificate Authority (CA)Dit is vereist om de door de gebruiker verstrekte informatie te kunnen verifiëren, zoals de domeinnaam en de identiteiten die aan het certificaat zijn gekoppeld. Door dit proces te automatiseren, maakt SCEP het voor het IT-team eenvoudig en sneller om certificaten op apparaten te registreren zonder de informatie handmatig te hoeven uitwisselen. Door een URL te gebruiken om informatie uit te wisselen en een gedeeld geheim om met de CA te communiceren, kan een apparaat zich eenvoudig registreren voor een certificaat.

Hoe werkt SCEP?

  1. SCEP-URL: Met de URL van het Simple Certificate Enrollment Protocol kan een apparaat communiceren met de CA om een ​​inschrijvingscertificaat te verkrijgen.
  2. SCEP gedeeld geheim: Er wordt een hoofdlettergevoelig, veilig wachtwoord gebruikt als gedeeld SCEP-geheim tussen de CA en de SCEP-server om de identiteiten en domeinen te verifiëren die aan het CA-certificaat zijn gekoppeld.
  3. SCEP-certificaatondertekeningsverzoek: Nadat u respectievelijk de SCEP-gateway en het gedeelde geheim hebt ingesteld en gedeeld, kunt u een configuratieprofiel maken en distribueren waarmee beheerde apparaten automatisch certificaten kunnen aanvragen door een certificaataanvraag via de SCEP-gateway naar de CA te sturen. Na authenticatie wordt een ondertekend certificaat aan het apparaat verstrekt.
  4. SCEP-ondertekeningscertificaat: Het SCEP-ondertekende certificaat wordt geüpload door Mobile Device Management (MDM), waarin de volledige certificaatketen (root-CA, intermediaire CA, eindentiteitscertificaat) is opgenomen.

SCEP-apparaatinschrijvingsproces

De volgende stappen zijn vereist voor SCEP-apparaatinschrijving op MDM's:

  1. SCEP-URL toevoegen
  2. SCEP gedeeld geheim toevoegen
  3. Upload het SCEP-certificaat. Dit certificaat moet ondertekend zijn.
  4. Stel de SCEP-configuratie in.
  5. Definieer eventuele toepassingsspecifieke certificaatinstellingen.
  6. Geef aan welk apparaat de certificaten moet ontvangen.

Na authenticatie door de CA wordt een ondertekend certificaat op het vereiste apparaat geïmplementeerd.

SCEP-certificaat Configuratieprofiel

Tijdens het instellen van een SCEP-server kan de beheerder de SCEP-implementatie aanpassen door het aantal beschikbare certificaateigenschappen in het certificaatconfiguratieprofiel in te stellen. De certificaateigenschappen worden hieronder weergegeven:

  • Naam van certificaatsjabloon
  • Certificaattype
  • Onderwerpnaam (dit verwijst naar de entiteit die het certificaat aanvraagt. Dit kan een e-mailadres, servernaam of IP-adres van de entiteit zijn.)
  • Geldigheidsduur van het certificaat (dit is de tijd waarin het certificaat geldig is, tenzij het wordt ingetrokken.)
  • Hashing-algoritme
  • Root CA-certificaat
  • Sleutelgebruik (dit heeft betrekking op het gebruik van de sleutel, ongeacht of dit voor digitale handtekening, sleutelcodering of beide is.)
  • Sleutelgrootte (dit verwijst naar de grootte van de sleutel, bijvoorbeeld 1024-bits of 2048-bits)
  • Alternatieve naam voor onderwerp (dit heeft betrekking op de alternatieve details van het onderwerp, zoals DNS, URI, UPN, enz.)

Enterprise PKI-services

Ontvang complete end-to-end consultatieondersteuning voor al uw PKI-vereisten!

Meer informatie

SCEP versus EST

EST staat voor Enrollment over Secure Transport. Het is de evolutie van SCEP en maakt gebruik van Transport Layer Security (TLS) Voor client-side apparaatauthenticatie. Zowel SCEP als EST worden gebruikt om het certificaatinschrijvingsproces te automatiseren, maar het verschil is dat SCEP het Shared Secret-protocol en CSR's gebruikt voor het inschrijven van certificaten, terwijl EST TLS gebruikt voor authenticatie. EST gebruikt TLS om de berichten en certificaten veilig te transporteren, terwijl SCEP PkcsPKIEnvelope-enveloppen gebruikt om de berichten te beveiligen.

SCEP versus ACME

ACME staat voor Geautomatiseerde certificaatbeheeromgevingSCEP en ACME zijn hetzelfde in certificaatbeheer. ACME gebruikt sleutelparen, ook wel autorisatiesleutels genoemd, voor de validatie van de CA en de organisatie. ACME installeert de Certificate Management Tool om autorisatiesleutels te genereren.

SCEP versus CMP en CMC

CMP staat voor Certificate Management Protocol en CMC staat voor Certificate Management CMS. Zowel SCEP als EST worden gebruikt voor de inschrijving en uitgifte van certificaten, terwijl CMP en CMC worden gebruikt voor certificaatbeheer, zoals de verlenging, status en intrekking van certificaten.

Conclusie

De SCEP Gateway API kan worden gebruikt om certificaten te distribueren naar elk beheerd apparaat. De SCEP Gateway API stelt beheerde apparaten in staat om zich eenvoudig zelf in te schrijven voor certificaten, maar het verhoogt ook het beveiligingsrisico. Mobiele apparaten die SCEP gebruiken voor digitaal certificaat inschrijving kan gevoelig zijn voor een Privilege Escalation Attack. EST is de verdere ontwikkeling van SCEP, die veiliger is en TLS gebruikt voor client-side apparaatauthenticatie.

Ontdek onze

Gerelateerde blogs

PKI-controle

Het behouden van PKI-controle in een cloudgerichte wereld

4 maart 2026
NDES EN SCEP

NDES en SCEP uitgelegd: De ruggengraat van geautomatiseerde certificaatinschrijving

2 maart 2026
Inzicht in Chrome's Root Program Policy v1.6 en de implicaties daarvan in 2026

Inzicht in Chrome's Root Program Policy v1.6 en de implicaties daarvan in 2026 

5 februari 2026

Bestudeer

Meer onderwerpen