circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Details

hashtag
Was ist SCEP?

Normalerweise, wenn Zertifikate auf (mobilen) Geräten bereitgestellt werden müssen, Simple Certificate Enrollment Protocolarrow-up-right (SCEP) ist die erste Wahl. Aber was ist SCEP? SCEP ist ein Internet-Draftarrow-up-right Standardprotokoll. Ein Internet-Draft enthält technische Spezifikationen und technische Informationen. Internet-Drafts werden oft als Request for Commentsarrow-up-right.

SCEP wurde ursprünglich von Cisco entwickelt. Die Kernaufgabe von SCEP ist die Bereitstellung von Zertifikaten an Netzwerkgeräte ohne jegliche Benutzerinteraktion. Mit Hilfe von SCEP können Netzwerkgeräte Zertifikate eigenständig anfordern.

hashtag
Was ist SCEPman?

Wenn Sie SCEP auf eine „traditionelle Weise“ verwenden, benötigen Sie eine Reihe von On-Premises-Komponenten. Microsoft Intune und andere Mobile Device Management (MDM) Lösungen ermöglichen Drittanbieter-Zertifizierungsstellen (CAarrow-up-right), Zertifikate mit SCEP auszustellen und zu validieren.

Um die On-Premises-Komponenten loszuwerden, haben wir SCEPman entwickelt.

circle-exclamation

SCEPman stellt Zertifikate aus, die für Authentifizierung und Transportsicherheit vorgesehen sind. Das heißt, Sie können Benutzer- und Gerätezertifikate für Netzwerk-Authentifizierung, WiFi, VPN, RADIUS und ähnliche Dienste bereitstellen.

Sie können SCEPman für transaktionale digitale Signaturen verwenden, z. B. für S/MIME-Signaturen in Microsoft Outlook. Wenn Sie planen, die Zertifikate für die Nachrichten-Signatur zu verwenden, müssen Sie die entsprechenden Extended Key Usages in der Intune-Profilkonfiguration hinzufügen. Bitte beachten Sie, dass SCEPman-Zertifikate nur in Ihrer Organisation vertrauenswürdig sind. SCEPman stellt keine öffentlich vertrauenswürdigen Zertifikate aus.

Verwenden Sie nicht SCEPman für E-Mail-Verschlüsselung z. B. für S/MIME-Mailverschlüsselung in Microsoft Outlook (ohne eine separate Technologie für Schlüsselverwaltung). Die Natur des SCEP-Protokolls enthält keinen Mechanismus zum Sichern oder Archivieren privater Schlüsselmaterialien. Wenn Sie SCEP für E-Mail-Verschlüsselung verwenden würden, könnten Sie später die Schlüssel zum Entschlüsseln der Nachrichten verlieren.

hashtag
SCEPman Arbeitsablauf

Hier ist eine Übersicht über den SCEPman-Arbeitsablauf bei Verwendung von Intune als MDM-Lösung (die Abläufe sind für andere MDM-Lösungen ähnlich). Die erste Abbildung zeigt die Zertifikatsausstellung und die zweite Abbildung zeigt die Zertifikatsvalidierung.

Prozess der Zertifikatsausstellung:

Prozess der Zertifikatsvalidierung während der zertifikatsbasierten Authentifizierung:

hashtag
SCEPman Funktionen

SCEPman ist eine Azure Web App mit folgenden Funktionen:

  • Eine SCEP-Schnittstelle, die kompatibel ist mit der Intune SCEP-APIarrow-up-right insbesondere.

  • SCEPman stellt Zertifikate aus, die von einem CA-Root-Schlüssel signiert sind, der in Azure Key Vault.

  • gespeichert ist. SCEPman enthält einen OCSP-Responder (siehe unten) um die Zertifikatsgültigkeit / automatische Sperrung

  • in Echtzeit

Eine vollständige Ablösung von Legacy-PKI in vielen Szenarien.

hashtag
SCEPman erstellt das CA-Root-Zertifikat während der Erstinstallation. Sollte aus irgendeinem Grund alternatives CA-Schlüsselmaterial verwendet werden sollen, ist es möglich, diesen CA-Schlüssel und das Zertifikat mit Ihrem eigenen im Azure Key Vault zu ersetzen. Zum Beispiel, wenn Sie ein Sub-CA-Zertifikat verwenden möchten, das von einer vorhandenen internen Root-CA signiert wurde.

Certificate Master Certificate Master ermöglicht Enterprise Edition-Bestandskunden, (manuell) Zertifikate auszustellen in Szenarien, in denen eine automatische Registrierung über SCEP / MDM nicht möglich ist. Häufige Beispiele sind die Ausstellung von TLS-Serverzertifikate oder Benutzerzertifikate für Smartcards / YubiKeys. Zudem können Administratoren mit Certificate Master verwalten jedes von SCEPman ausgestellte Zertifikat, unabhängig davon, ob es automatisch über SCEP via Intune, Jamf und andere MDMs, EST, dem Enrollment REST API oder manuell über die Certificate Master-Benutzeroberfläche selbst registriert wurde.

Certificate Masterchevron-right

hashtag
SCEPman OCSP (Online Certificate Status Protocol)

Das Online Certificate Status Protocol (OCSP)arrow-up-right ist ein Internetprotokoll, das verwendet wird, um den Zustand eines Zertifikats zu bestimmen.

Normalerweise sendet ein OCSP-Client eine Statusanfrage an einen OCSP-Responder. Ein OCSP-Responder überprüft die Gültigkeit eines Zertifikats anhand des Widerrufsstatus oder anderer Mechanismen. Im Vergleich zu einer Zertifikatswiderrufsliste (CRL), die SCEPman ebenfalls unterstützt, ist eine OCSP-Antwort stets aktuell und die Antwort steht innerhalb von Sekunden zur Verfügung. Eine CRL hat den Nachteil, dass sie auf einer Datenbank basiert, die manuell aktualisiert werden muss und möglicherweise viel Daten umfasst. Lesen Sie einen detaillierten Vergleich dieser Widerrufsmechanismen in einem Artikel in unserem Firmenblog.arrow-up-right

Zuletzt aktualisiert

War das hilfreich?