Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. PKI

Vad är en SCEP-tjänst? Hur fungerar SCEP-protokollet?

Postat avHemant Bhatt 04 minuter
Certifikatregistrering med SCEP och NDES
Innehållsförteckning

SCEP, eller Simple Certificate Enrollment Protocol, är ett protokoll för certifikathantering med öppen källkod som står för , och automatiserar uppgiften att utfärda certifikat. Infrastruktur för offentliga nycklar (PKI) en certifikatutfärdande kräver en process för informationsutbyte med en betrodd Certifikatmyndighet (CA)Detta krävs för att kunna autentisera informationen som användaren tillhandahåller, såsom domännamn och identiteter som är kopplade till certifikatet. Genom att automatisera denna process gör SCEP det enkelt och snabbare för IT-teamet att registrera certifikat på enheter utan att behöva utbyta informationen manuellt. Genom att använda en URL för att utbyta information och en delad hemlighet för att kommunicera med certifikatutfärdaren kan en enhet enkelt registrera sig för ett certifikat.

Hur fungerar SCEP?

  1. SCEP-URL: URL:en för Simple Certificate Enrollment Protocol gör det möjligt för en enhet att kommunicera med certifikatutfärdaren för att hämta ett registreringscertifikat.
  2. SCEP Delad hemlighet: Ett skiftlägeskänsligt, säkert lösenord används som en SCEP-delad hemlighet mellan CA och SCEP-servern för att autentisera identiteter och domäner som är associerade med CA-certifikatet.
  3. SCEP-certifikatsigneringsbegäran: Efter att ha konfigurerat och delat SCEP-gatewayen respektive den delade hemligheten kan användare skapa och distribuera en konfigurationsprofil som gör det möjligt för hanterade enheter att automatiskt registrera sig för certifikat genom att skicka en certifikatregistreringsbegäran till certifikatutfärdaren via SCEP-gatewayen. Ett signerat certifikat utfärdas till enheten efter autentisering.
  4. SCEP-signeringscertifikat: Det SCEP-signerade certifikatet laddas upp av Mobile Device Management (MDM), där hela certifikatkedjan (rot-CA, mellanliggande CA, slutentitetscertifikat) ingår.

SCEP-enhetsregistreringsprocess

Följande steg krävs för registrering av SCEP-enheter på MDM:er:

  1. Lägg till SCEP-URL
  2. Lägg till delad SCEP-hemlighet
  3. Ladda upp SCEP-certifikatet, som måste signeras.
  4. Ställ in SCEP-konfigurationen.
  5. Definiera valfri applikationsspecifik certifikatinställning.
  6. Ange vilken enhet som ska ta emot certifikaten.

Efter autentisering av CA kommer ett signerat certifikat att distribueras på den begärda enheten.

SCEP-certifikat Konfigurationsprofil

När administratören konfigurerar en SCEP-server kan hen anpassa SCEP-implementeringen genom att ställa in antalet tillgängliga certifikategenskaper i certifikatkonfigurationsprofilen. Certifikategenskaperna anges nedan:

  • Namn på certifikatmallen
  • Certifikattyp
  • Ämnesnamn (detta hänvisar till den enhet som begär certifikatet, det kan vara ett e-postadress-ID, servernamn eller IP-adress för enheten.)
  • Certifikatets giltighetstid (detta avser den tid som certifikatet är giltigt, om det inte återkallas.)
  • Hashing-algoritm
  • Rot-CA-certifikat
  • Nyckelanvändning (detta avser användningen av nyckeln, oavsett om det är för digital signatur, nyckelkryptering eller båda.)
  • Nyckelstorlek (detta avser nyckelns storlek, till exempel 1024-bitars eller 2048-bitars)
  • Alternativt ämnesnamn (detta avser alternativa uppgifter om ämnet, såsom DNS, URI, UPN etc.)

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

SCEP kontra EST

EST står för Enrollment over Secure Transport. Det är utvecklingen av SCEP och använder Transport Layer Security (TLS) för autentisering av klientsidor för enheter. Både SCEP och EST används för att automatisera certifikatregistreringsprocessen, men skillnaden är att SCEP använder Shared Secret-protokollet och CSR:er för att registrera certifikat, medan EST använder TLS för autentisering. EST använder TLS för att säkert transportera meddelanden och certifikat, medan SCEP använder PkcsPKIEnvelope-kuvert för att säkra meddelandena.

SCEP kontra ACME

ACME står för Automatiserad certifikathanteringsmiljöBåde SCEP och ACME är samma sak inom certifikathantering. ACME använder nyckelpar, även kända som auktoriseringsnycklar, för validering av certifikatutfärdaren och organisationen. ACME installerar verktyget för certifikathantering för att generera auktoriseringsnycklar.

SCEP jämfört med CMP och CMC

CMP står för Certificate Management Protocol och CMC står för Certificate Management CMS. Både SCEP och EST används för registrering och utfärdande av certifikat, medan CMP och CMC används för certifikathantering, såsom förnyelse, status och återkallelse av certifikat.

Slutsats

SCEP Gateway API kan användas för att distribuera certifikat till alla hanterade enheter. SCEP Gateway API gör det möjligt för hanterade enheter att enkelt registrera sig för certifikat på egen hand, men det ökar också säkerhetsrisken. Mobila enheter som använder SCEP för digitalt certifikat Registrering kan vara sårbar för en Privilege Escalation Attack. EST är utvecklingen av SCEP, som är säkrare och använder TLS för autentisering av enheter på klientsidan.

Upptäck vår

Relaterade bloggar

PKI-kontroll

Upprätthålla PKI-kontroll i en molnbaserad värld

Mars 4, 2026
NDES OCH SCEP

NDES och SCEP förklarade: Ryggraden i automatiserad certifikatregistrering

Mars 2, 2026
Förstå Chromes rootprogrampolicy v1.6 och dess konsekvenser år 2026

Förstå Chromes rootprogrampolicy v1.6 och dess konsekvenser år 2026 

Februari 5, 2026

Utforska

Fler ämnen