circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Detalles

hashtag
¿Qué es SCEP?

Normalmente, cuando es necesario desplegar certificados en dispositivos (móviles), Protocolo simple de inscripción de certificadosarrow-up-right (SCEP) es la primera opción. ¿Pero qué es SCEP? SCEP es un borrador de Internetarrow-up-right protocolo estándar. Un borrador de Internet contiene especificaciones técnicas e información técnica. Los borradores de Internet suelen publicarse como una Solicitud de comentariosarrow-up-right.

SCEP fue desarrollado originalmente por Cisco. La misión principal de SCEP es el despliegue de certificados a dispositivos de red sin ninguna interacción del usuario. Con la ayuda de SCEP, los dispositivos de red pueden solicitar certificados por sí mismos.

hashtag
¿Qué es SCEPman?

Si utiliza SCEP de la "manera tradicional" necesita una serie de componentes locales. Microsoft Intune y otras soluciones de Gestión de Dispositivos Móviles (MDM) soluciones permiten a las autoridades de certificación (CAarrow-up-right) de terceros emitir y validar certificados usando SCEP.

Para deshacernos de los componentes locales desarrollamos SCEPman.

circle-exclamation

SCEPman emite certificados que están destinados a la autenticación y al cifrado de transporte. Dicho esto, puede desplegar certificados de usuario y de dispositivo utilizados para autenticación de red, WiFi, VPN, RADIUS y servicios similares.

Puede usar SCEPman para firmas digitales es decir, para firmar S/MIME en Microsoft Outlook. Si planea usar los certificados para firma de mensajes debe agregar los usos de clave extendidos correspondientes en la configuración del perfil de Intune. Tenga en cuenta que los certificados de SCEPman son de confianza solo dentro de su organización. SCEPman no emite certificados confiables públicamente.

No utilice SCEPman para el cifrado de correo electrónico es decir, para el cifrado de correo S/MIME en Microsoft Outlook (sin una tecnología separada para la gestión de claves). La naturaleza de el protocolo SCEP no incluye un mecanismo para hacer copia de seguridad o archivar material de clave privada. Si usara SCEP para el cifrado de correo electrónico podría perder las claves para descifrar los mensajes más adelante.

hashtag
Flujo de trabajo de SCEPman

Aquí hay una visión general del flujo de trabajo de SCEPman cuando se usa Intune como solución MDM (los flujos son similares para otras soluciones MDM). La primera figura muestra la emisión de certificados y la segunda figura muestra la validación de certificados.

Proceso de emisión de certificados:

Proceso de validación de certificados durante la autenticación basada en certificados:

hashtag
Características de SCEPman

SCEPman es una aplicación web de Azure con las siguientes características:

  • Una interfaz SCEP que es compatible con la API SCEParrow-up-right en particular.

  • SCEPman proporciona certificados firmados por una clave raíz de CA almacenada en Azure Key Vault.

  • SCEPman contiene un respondedor OCSP (ver más abajo) para proporcionar validez de certificados / auto-revocación en tiempo real

  • Un reemplazo completo de la PKI heredada en muchos escenarios.

SCEPman crea el certificado raíz de la CA durante la instalación inicial. Sin embargo, si por cualquier motivo se debe usar material de clave de CA alternativo, es posible reemplazar esta clave y certificado de CA con los suyos en Azure Key Vault. Por ejemplo, si desea usar un certificado de Sub CA firmado por una CA raíz interna existente.

hashtag
Administrador de certificados

Certificate Master permite Edición Empresarial a los clientes emitir (manualmente) certificados en escenarios donde una inscripción automática vía SCEP / MDM no es posible. Ejemplos comunes son la emisión de certificados TLS de servidor o certificados de usuario para tarjetas inteligentes / YubiKeys. Además, con Certificate Master, los administradores pueden gestionar cualquier certificado emitido por SCEPman, ya sea que se inscribieron automáticamente a través de SCEP mediante Intune, Jamf y otros MDM, EST, la API REST de inscripción o manualmente a través de la propia interfaz de Certificate Master.

Administrador de certificadoschevron-right

hashtag
SCEPman OCSP (Protocolo de estado de certificados en línea)

El Protocolo de estado de certificados en línea (OCSP)arrow-up-right es un protocolo de Internet que se utiliza para determinar el estado de un certificado.

Normalmente, un cliente OCSP envía una solicitud de estado a un respondedor OCSP. Un respondedor OCSP verifica la validez de un certificado en función del estado de revocación u otros mecanismos. En comparación con una lista de revocación de certificados (CRL), que SCEPman también admite, una respuesta OCSP está siempre actualizada y la respuesta está disponible en segundos. Una CRL tiene la desventaja de que se basa en una base de datos que debe actualizarse manualmente y puede contener una gran cantidad de datos. Lea una comparación detallada de estos mecanismos de revocación en un artículo en nuestro blog de la empresa.arrow-up-right

Última actualización

¿Te fue útil?