# Detalles

## ¿Qué es SCEP?

Normalmente, cuando es necesario implementar certificados en dispositivos (móviles), [Simple Certificate Enrollment Protocol](https://www.rfc-editor.org/rfc/rfc8894.html) (SCEP) es la primera opción. Pero, ¿qué es SCEP? SCEP es un [borrador de Internet](https://en.wikipedia.org/wiki/Internet_Draft) protocolo estándar. Un borrador de Internet contiene especificaciones técnicas e información técnica. Los borradores de Internet a menudo se publican como una [Request for Comments](https://en.wikipedia.org/wiki/Request_for_Comments).

SCEP fue desarrollado originalmente por Cisco. La misión principal de SCEP es la implementación de certificados en dispositivos de red sin ninguna interacción del usuario. Con la ayuda de SCEP, los dispositivos de red pueden solicitar certificados por sí mismos.

## ¿Qué es SCEPman?

Si usas SCEP de una manera 'tradicional', necesitas una serie de componentes locales. Microsoft Intune y [otras soluciones de Administración de dispositivos móviles (MDM)](https://docs.scepman.com/es/use-cases#mdm-solutions) soluciones [permiten que autoridades de certificación (CA) de terceros](https://learn.microsoft.com/en-us/mem/intune/protect/certificate-authority-add-scep-overview)emitan y validen certificados mediante SCEP.

Para deshacernos de los componentes locales desarrollamos SCEPman.

{% hint style="warning" %}
SCEPman emite certificados que están **destinados a la autenticación y al cifrado de transporte**. Dicho esto, puedes implementar certificados de usuario y de dispositivo usados para autenticación de red, WiFi, VPN, RADIUS y servicios similares.

**Puedes** usar SCEPman para firmas **digitales** es decir, para la firma S/MIME en Microsoft Outlook. Si planeas usar los certificados para la firma de mensajes, debes agregar los usos extendidos de clave correspondientes en la configuración del perfil de Intune. Ten en cuenta que los certificados de SCEPman solo son de confianza en tu organización. SCEPman no emite certificados de confianza pública.

**No** uses SCEPman **para cifrado de correo electrónico** es decir, para el cifrado de correo S/MIME en Microsoft Outlook (sin una tecnología separada para la gestión de claves). La naturaleza de **el protocolo SCEP no incluye un mecanismo para realizar copias de seguridad o archivar el material de la clave privada.** Si usaras SCEP para el cifrado de correo electrónico, podrías perder las claves para descifrar los mensajes más adelante.
{% endhint %}

### Flujo de trabajo de SCEPman

Aquí tienes una visión general del flujo de trabajo de SCEPman al usar Intune como solución MDM (los flujos son similares para otras soluciones MDM). La primera figura muestra la emisión del certificado y la segunda muestra la validación del certificado.

Proceso de emisión de certificados:

![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-7cb95c3dd3eb55459521c578fe749dbc9a464d12%2FOverview1.png?alt=media)

Proceso de validación de certificados durante la autenticación basada en certificados:

![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-b28ed2d4261ddb510cd7bd697a559b483f88adca%2FOverview2.png?alt=media)

### Características de SCEPman

SCEPman es una Azure Web App con las siguientes características:

* Una interfaz SCEP compatible con la [API SCEP](https://learn.microsoft.com/en-us/mem/intune/protect/certificate-authority-add-scep-overview) en particular.
* SCEPman proporciona certificados firmados por una clave raíz de CA almacenada en **Azure Key Vault**.
* SCEPman contiene un **respondedor OCSP** (ver más abajo) para proporcionar [validez del certificado / autorrevocación](https://docs.scepman.com/es/administracion-de-certificados/manage-certificates#automatic-revocation) en tiempo real
* Un reemplazo completo de Legacy PKI en muchos escenarios.

SCEPman crea el certificado raíz de CA durante la instalación inicial. Sin embargo, si por cualquier motivo se debe usar un material de clave de CA alternativo, es posible reemplazar esta clave y certificado de CA por los propios en Azure Key Vault. Por ejemplo, si quieres usar un certificado de Sub CA firmado por una CA raíz interna existente.

#### Certificate Master

Certificate Master permite [a los clientes de Enterprise Edition](https://docs.scepman.com/es/editions#edition-comparison) emitir (manualmente) certificados en escenarios en los que no es posible un registro automático mediante SCEP / MDM. Ejemplos comunes son la emisión de [certificados de servidor TLS](https://docs.scepman.com/es/administracion-de-certificados/certificate-master/tls-server-certificate-pkcs-12) o certificados de usuario para [smart cards / YubiKeys](https://docs.scepman.com/es/administracion-de-certificados/certificate-master/user-certificate). Además, con Certificate Master, los administradores pueden [administrar](https://docs.scepman.com/es/administracion-de-certificados/manage-certificates) cualquier certificado emitido por SCEPman, ya sea que se hayan inscrito automáticamente mediante SCEP a través de Intune, Jamf y otros MDM, EST, la [API REST de inscripción](https://docs.scepman.com/es/administracion-de-certificados/api-certificates) o manualmente a través de la propia interfaz de usuario de Certificate Master.

{% content-ref url="administracion-de-certificados/certificate-master" %}
[certificate-master](https://docs.scepman.com/es/administracion-de-certificados/certificate-master)
{% endcontent-ref %}

### SCEPman OCSP (Online Certificate Status Protocol)

El [Online Certificate Status Protocol (OCSP)](https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol) es un protocolo de Internet que se utiliza para determinar el estado de un certificado.

Normalmente, un cliente OCSP envía una solicitud de estado a un respondedor OCSP. Un respondedor OCSP verifica la validez de un certificado en función del estado de revocación u otros mecanismos. En comparación con una lista de revocación de certificados (CRL), que SCEPman también admite, una respuesta OCSP está siempre actualizada y la respuesta está disponible en segundos. Una CRL tiene la desventaja de que se basa en una base de datos que debe actualizarse manualmente y puede ocupar muchos datos. Lee una comparación detallada de estos mecanismos de revocación[ en un artículo de nuestro blog corporativo.](https://www.glueckkanja.com/blog/products/2023/05/certificate-revocation-en/)