circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search
Ctrlk

Details

hashtag
Was ist SCEP?

Wenn es normalerweise erforderlich ist, Zertifikate auf (mobile) Geräte bereitzustellen, Simple Certificate Enrollment Protocolarrow-up-right (SCEP) ist die erste Wahl. Aber was ist SCEP? SCEP ist ein Internet Draftarrow-up-right Standardprotokoll. Ein Internet Draft enthält technische Spezifikationen und technische Informationen. Internet Drafts werden oft veröffentlicht als ein Request for Commentsarrow-up-right.

SCEP wurde ursprünglich von Cisco entwickelt. Die Kernaufgabe von SCEP ist die Bereitstellung von Zertifikaten für Netzwerkgeräte ohne jegliche Benutzerinteraktion. Mithilfe von SCEP können Netzwerkgeräte selbstständig Zertifikate anfordern.

hashtag
Was ist SCEPman?

Wenn Sie SCEP auf die 'traditionelle Weise' verwenden, benötigen Sie eine Reihe von On-Premises-Komponenten. Microsoft Intune und andere Mobile Device Management (MDM) Lösungen ermöglichen es Drittanbieter-Zertifizierungsstellen (CAarrow-up-right) Zertifikate mithilfe von SCEP auszustellen und zu validieren.

Um die On-Premises-Komponenten loszuwerden, haben wir SCEPman entwickelt.

circle-exclamation

SCEPman stellt Zertifikate aus, die für Authentifizierung und Transportverschlüsselung vorgesehen sind. Das heißt, Sie können Benutzer- und Gerätezertifikate bereitstellen, die für Netzwerkauthentifizierung, WiFi, VPN, RADIUS und ähnliche Dienste verwendet werden.

Sie können SCEPman für transaktionale digitale Signaturen verwenden, also für S/MIME-Signaturen in Microsoft Outlook. Wenn Sie die Zertifikate für die Nachrichtensignierung verwenden möchten, müssen Sie die entsprechenden erweiterten Schlüsselverwendungen in der Intune-Profilkonfiguration hinzufügen. Bitte beachten Sie, dass SCEPman-Zertifikate nur in Ihrer Organisation vertrauenswürdig sind. SCEPman stellt keine öffentlich vertrauenswürdigen Zertifikate aus.

Verwenden Sie SCEPman nicht für E-Mail-Verschlüsselung also für S/MIME-E-Mail-Verschlüsselung in Microsoft Outlook (ohne separate Technologie für das Schlüsselmanagement). Die Natur des SCEP-Protokolls umfasst keinen Mechanismus zum Sichern oder Archivieren von privatem Schlüsselmaterial. Wenn Sie SCEP für E-Mail-Verschlüsselung verwenden würden, könnten Sie die Schlüssel zum späteren Entschlüsseln der Nachrichten verlieren.

hashtag
SCEPman-Workflow

Hier ist ein Überblick über den SCEPman-Workflow bei Verwendung von Intune als MDM-Lösung (die Abläufe sind für andere MDM-Lösungen ähnlich). Die erste Abbildung zeigt die Zertifikatsausstellung und die zweite Abbildung zeigt die Zertifikatsvalidierung.

Ablauf der Zertifikatsausstellung:

Ablauf der Zertifikatsvalidierung während der zertifikatsbasierten Authentifizierung:

hashtag
SCEPman-Funktionen

SCEPman ist eine Azure Web App mit den folgenden Funktionen:

  • Eine SCEP-Schnittstelle, die mit der Intune SCEP APIarrow-up-right insbesondere kompatibel ist.

  • SCEPman stellt Zertifikate bereit, die von einem CA-Root-Schlüssel signiert sind, der in Azure Key Vault.

  • SCEPman enthält einen OCSP-Responder (siehe unten), um Zertifikatsgültigkeit / automatische Sperrung in Echtzeit bereitzustellen

  • Ein vollständiger Ersatz für Legacy PKI in vielen Szenarien.

SCEPman erstellt das CA-Root-Zertifikat während der Erstinstallation. Falls jedoch aus irgendeinem Grund alternatives CA-Schlüsselmaterial verwendet werden soll, ist es möglich, diesen CA-Schlüssel und dieses Zertifikat in Azure Key Vault durch Ihre eigenen zu ersetzen. Zum Beispiel, wenn Sie ein Sub-CA-Zertifikat verwenden möchten, das von einer vorhandenen internen Root CA signiert wurde.

hashtag
Certificate Master

Certificate Master ermöglicht Enterprise Edition Kunden, Zertifikate (manuell) auszustellen, wenn eine automatische Registrierung über SCEP / MDM nicht möglich ist. Häufige Beispiele sind die Ausstellung von TLS-Serverzertifikaten oder Benutzerzertifikaten für Smartcards / YubiKeys. Darüber hinaus können Administratoren mit Certificate Master verwalten jedes von SCEPman ausgestellte Zertifikat, unabhängig davon, ob es automatisch über SCEP via Intune, Jamf und andere MDMs, EST, die Enrollment REST API oder manuell über die Certificate Master UI selbst ausgestellt wurde.

Certificate Masterchevron-right

hashtag
SCEPman OCSP (Online Certificate Status Protocol)

Das Online Certificate Status Protocol (OCSP)arrow-up-right ist ein Internetprotokoll, das verwendet wird, um den Status eines Zertifikats zu bestimmen.

Normalerweise sendet ein OCSP-Client eine Statusanfrage an einen OCSP-Responder. Ein OCSP-Responder überprüft die Gültigkeit eines Zertifikats basierend auf dem Sperrstatus oder anderen Mechanismen. Im Vergleich zu einer Certificate Revocation List (CRL), die SCEPman ebenfalls unterstützt, ist eine OCSP-Antwort immer aktuell und die Antwort ist innerhalb von Sekunden verfügbar. Eine CRL hat den Nachteil, dass sie auf einer Datenbank basiert, die manuell aktualisiert werden muss und sehr umfangreich sein kann. Lesen Sie einen detaillierten Vergleich dieser Sperrmechanismen in einem Artikel in unserem Firmenblog.arrow-up-right

Zuletzt aktualisiert

War das hilfreich?