# Details

## Was ist SCEP?

Wenn es normalerweise erforderlich ist, Zertifikate auf (mobile) Geräte bereitzustellen, [Simple Certificate Enrollment Protocol](https://www.rfc-editor.org/rfc/rfc8894.html) (SCEP) ist die erste Wahl. Aber was ist SCEP? SCEP ist ein [Internet Draft](https://en.wikipedia.org/wiki/Internet_Draft) Standardprotokoll. Ein Internet Draft enthält technische Spezifikationen und technische Informationen. Internet Drafts werden oft veröffentlicht als ein [Request for Comments](https://en.wikipedia.org/wiki/Request_for_Comments).

SCEP wurde ursprünglich von Cisco entwickelt. Die Kernaufgabe von SCEP ist die Bereitstellung von Zertifikaten für Netzwerkgeräte ohne jegliche Benutzerinteraktion. Mithilfe von SCEP können Netzwerkgeräte selbstständig Zertifikate anfordern.

## Was ist SCEPman?

Wenn Sie SCEP auf die 'traditionelle Weise' verwenden, benötigen Sie eine Reihe von On-Premises-Komponenten. Microsoft Intune und [andere Mobile Device Management (MDM)](https://docs.scepman.com/de/use-cases#mdm-solutions) Lösungen [ermöglichen es Drittanbieter-Zertifizierungsstellen (CA](https://learn.microsoft.com/en-us/mem/intune/protect/certificate-authority-add-scep-overview)) Zertifikate mithilfe von SCEP auszustellen und zu validieren.

Um die On-Premises-Komponenten loszuwerden, haben wir SCEPman entwickelt.

{% hint style="warning" %}
SCEPman stellt Zertifikate aus, die **für Authentifizierung und Transportverschlüsselung vorgesehen sind**. Das heißt, Sie können Benutzer- und Gerätezertifikate bereitstellen, die für Netzwerkauthentifizierung, WiFi, VPN, RADIUS und ähnliche Dienste verwendet werden.

**Sie können** SCEPman für transaktionale **digitale Signaturen** verwenden, also für S/MIME-Signaturen in Microsoft Outlook. Wenn Sie die Zertifikate für die Nachrichtensignierung verwenden möchten, müssen Sie die entsprechenden erweiterten Schlüsselverwendungen in der Intune-Profilkonfiguration hinzufügen. Bitte beachten Sie, dass SCEPman-Zertifikate nur in Ihrer Organisation vertrauenswürdig sind. SCEPman stellt keine öffentlich vertrauenswürdigen Zertifikate aus.

**Verwenden Sie SCEPman** nicht **für E-Mail-Verschlüsselung** also für S/MIME-E-Mail-Verschlüsselung in Microsoft Outlook (ohne separate Technologie für das Schlüsselmanagement). Die Natur des **SCEP-Protokolls umfasst keinen Mechanismus zum Sichern oder Archivieren von privatem Schlüsselmaterial.** Wenn Sie SCEP für E-Mail-Verschlüsselung verwenden würden, könnten Sie die Schlüssel zum späteren Entschlüsseln der Nachrichten verlieren.
{% endhint %}

### SCEPman-Workflow

Hier ist ein Überblick über den SCEPman-Workflow bei Verwendung von Intune als MDM-Lösung (die Abläufe sind für andere MDM-Lösungen ähnlich). Die erste Abbildung zeigt die Zertifikatsausstellung und die zweite Abbildung zeigt die Zertifikatsvalidierung.

Ablauf der Zertifikatsausstellung:

![](https://2075553437-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-7cb95c3dd3eb55459521c578fe749dbc9a464d12%2FOverview1.png?alt=media)

Ablauf der Zertifikatsvalidierung während der zertifikatsbasierten Authentifizierung:

![](https://2075553437-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-b28ed2d4261ddb510cd7bd697a559b483f88adca%2FOverview2.png?alt=media)

### SCEPman-Funktionen

SCEPman ist eine Azure Web App mit den folgenden Funktionen:

* Eine SCEP-Schnittstelle, die mit der Intune [SCEP API](https://learn.microsoft.com/en-us/mem/intune/protect/certificate-authority-add-scep-overview) insbesondere kompatibel ist.
* SCEPman stellt Zertifikate bereit, die von einem CA-Root-Schlüssel signiert sind, der in **Azure Key Vault**.
* SCEPman enthält einen **OCSP-Responder** (siehe unten), um [Zertifikatsgültigkeit / automatische Sperrung](https://docs.scepman.com/de/zertifikatsverwaltung/manage-certificates#automatic-revocation) in Echtzeit bereitzustellen
* Ein vollständiger Ersatz für Legacy PKI in vielen Szenarien.

SCEPman erstellt das CA-Root-Zertifikat während der Erstinstallation. Falls jedoch aus irgendeinem Grund alternatives CA-Schlüsselmaterial verwendet werden soll, ist es möglich, diesen CA-Schlüssel und dieses Zertifikat in Azure Key Vault durch Ihre eigenen zu ersetzen. Zum Beispiel, wenn Sie ein Sub-CA-Zertifikat verwenden möchten, das von einer vorhandenen internen Root CA signiert wurde.

#### Certificate Master

Certificate Master ermöglicht [Enterprise Edition](https://docs.scepman.com/de/editions#edition-comparison) Kunden, Zertifikate (manuell) auszustellen, wenn eine automatische Registrierung über SCEP / MDM nicht möglich ist. Häufige Beispiele sind die Ausstellung von [TLS-Serverzertifikaten](https://docs.scepman.com/de/zertifikatsverwaltung/certificate-master/tls-server-certificate-pkcs-12) oder Benutzerzertifikaten für [Smartcards / YubiKeys](https://docs.scepman.com/de/zertifikatsverwaltung/certificate-master/user-certificate). Darüber hinaus können Administratoren mit Certificate Master [verwalten](https://docs.scepman.com/de/zertifikatsverwaltung/manage-certificates) jedes von SCEPman ausgestellte Zertifikat, unabhängig davon, ob es automatisch über SCEP via Intune, Jamf und andere MDMs, EST, die [Enrollment REST API](https://docs.scepman.com/de/zertifikatsverwaltung/api-certificates) oder manuell über die Certificate Master UI selbst ausgestellt wurde.

{% content-ref url="zertifikatsverwaltung/certificate-master" %}
[certificate-master](https://docs.scepman.com/de/zertifikatsverwaltung/certificate-master)
{% endcontent-ref %}

### SCEPman OCSP (Online Certificate Status Protocol)

Das [Online Certificate Status Protocol (OCSP)](https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol) ist ein Internetprotokoll, das verwendet wird, um den Status eines Zertifikats zu bestimmen.

Normalerweise sendet ein OCSP-Client eine Statusanfrage an einen OCSP-Responder. Ein OCSP-Responder überprüft die Gültigkeit eines Zertifikats basierend auf dem Sperrstatus oder anderen Mechanismen. Im Vergleich zu einer Certificate Revocation List (CRL), die SCEPman ebenfalls unterstützt, ist eine OCSP-Antwort immer aktuell und die Antwort ist innerhalb von Sekunden verfügbar. Eine CRL hat den Nachteil, dass sie auf einer Datenbank basiert, die manuell aktualisiert werden muss und sehr umfangreich sein kann. Lesen Sie einen detaillierten Vergleich dieser Sperrmechanismen[ in einem Artikel in unserem Firmenblog.](https://www.glueckkanja.com/blog/products/2023/05/certificate-revocation-en/)