# Détails

## Qu’est-ce que SCEP ?

En général, lorsqu’il est nécessaire de déployer des certificats sur des appareils (mobiles), [Simple Certificate Enrollment Protocol](https://www.rfc-editor.org/rfc/rfc8894.html) (SCEP) est le premier choix. Mais qu’est-ce que SCEP ? SCEP est un [Internet draft](https://en.wikipedia.org/wiki/Internet_Draft) protocole standard. Un Internet draft contient des spécifications techniques et des informations techniques. Les Internet drafts sont souvent publiés sous forme de [Request for Comments](https://en.wikipedia.org/wiki/Request_for_Comments).

SCEP a été développé à l’origine par Cisco. La mission principale de SCEP est le déploiement de certificats sur des périphériques réseau sans aucune interaction de l’utilisateur. Grâce à SCEP, les périphériques réseau peuvent demander des certificats de manière autonome.

## Qu’est-ce que SCEPman ?

Si vous utilisez SCEP de manière « traditionnelle », vous avez besoin d’un certain nombre de composants sur site. Microsoft Intune et [d’autres solutions de gestion des appareils mobiles (MDM)](https://docs.scepman.com/fr/use-cases#mdm-solutions) permettent à des autorités de certification tierces (CA [) d’émettre et de valider des certificats à l’aide de SCEP.](https://learn.microsoft.com/en-us/mem/intune/protect/certificate-authority-add-scep-overview)Pour nous débarrasser des composants sur site, nous avons développé SCEPman.

SCEPman émet des certificats qui sont

{% hint style="warning" %}
destinés à l’authentification et au chiffrement du transport **. Cela dit, vous pouvez déployer des certificats utilisateur et appareil utilisés pour l’authentification réseau, le Wi-Fi, le VPN, RADIUS et des services similaires.**&#x56;ous pouvez

**utiliser SCEPman pour des** signatures numériques transactionnelles **,** c’est-à-dire pour la signature S/MIME dans Microsoft Outlook. Si vous prévoyez d’utiliser les certificats pour la signature de messages, vous devez ajouter les usages de clé étendus correspondants dans la configuration du profil Intune. Veuillez garder à l’esprit que les certificats SCEPman ne sont approuvés que dans votre organisation. SCEPman n’émet pas de certificats approuvés publiquement.

**N’** utilisez pas SCEPman **pour le chiffrement des e-mails** , c’est-à-dire pour le chiffrement des messages S/MIME dans Microsoft Outlook (sans technologie séparée de gestion des clés). La nature de **le protocole SCEP n’inclut pas de mécanisme de sauvegarde ou d’archivage du matériel de clé privée.** Si vous utilisiez SCEP pour le chiffrement des e-mails, vous pourriez perdre les clés permettant de déchiffrer les messages ultérieurement.
{% endhint %}

### Flux de travail SCEPman

Voici un aperçu du flux de travail SCEPman lors de l’utilisation d’Intune comme solution MDM (les flux sont similaires pour d’autres solutions MDM). La première figure montre l’émission du certificat et la deuxième montre la validation du certificat.

Processus d’émission de certificats :

![](https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-7cb95c3dd3eb55459521c578fe749dbc9a464d12%2FOverview1.png?alt=media)

Processus de validation des certificats lors de l’authentification basée sur certificat :

![](https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-b28ed2d4261ddb510cd7bd697a559b483f88adca%2FOverview2.png?alt=media)

### Fonctionnalités de SCEPman

SCEPman est une Azure Web App avec les fonctionnalités suivantes :

* Une interface SCEP compatible avec l’ [API SCEP](https://learn.microsoft.com/en-us/mem/intune/protect/certificate-authority-add-scep-overview) en particulier.
* SCEPman fournit des certificats signés par une clé racine de CA stockée dans **Azure Key Vault**.
* SCEPman contient un **répondeur OCSP** (voir ci-dessous) pour fournir [la validité des certificats / la révocation automatique](https://docs.scepman.com/fr/gestion-des-certificats/manage-certificates#automatic-revocation) en temps réel
* Un remplacement complet de l’infrastructure PKI héritée dans de nombreux scénarios.

SCEPman crée le certificat racine de l’AC lors de l’installation initiale. Cependant, si, pour une raison quelconque, un autre matériel de clé d’AC doit être utilisé, il est possible de remplacer cette clé et ce certificat d’AC par les vôtres dans Azure Key Vault. Par exemple, si vous souhaitez utiliser un certificat d’AC subordonnée signé par une AC racine interne existante.

#### Certificate Master

Certificate Master permet aux [clients Enterprise Edition](https://docs.scepman.com/fr/editions#edition-comparison) d’émettre (manuellement) des certificats dans des scénarios où un enrôlement automatique via SCEP / MDM n’est pas possible. Des exemples courants sont l’émission de [certificats de serveur TLS](https://docs.scepman.com/fr/gestion-des-certificats/certificate-master/tls-server-certificate-pkcs-12) ou de certificats utilisateur pour [les cartes à puce / YubiKeys](https://docs.scepman.com/fr/gestion-des-certificats/certificate-master/user-certificate). En outre, avec Certificate Master, les administrateurs peuvent [gérer](https://docs.scepman.com/fr/gestion-des-certificats/manage-certificates) n’importe quel certificat émis par SCEPman, qu’il ait été enrôlé automatiquement via SCEP par Intune, Jamf et d’autres MDM, EST, l’ [API REST d’enrôlement](https://docs.scepman.com/fr/gestion-des-certificats/api-certificates) ou manuellement via l’interface utilisateur de Certificate Master elle-même.

{% content-ref url="gestion-des-certificats/certificate-master" %}
[certificate-master](https://docs.scepman.com/fr/gestion-des-certificats/certificate-master)
{% endcontent-ref %}

### SCEPman OCSP (Online Certificate Status Protocol)

Le [Online Certificate Status Protocol (OCSP)](https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol) est un protocole Internet utilisé pour déterminer l’état d’un certificat.

En général, un client OCSP envoie une requête d’état à un répondeur OCSP. Un répondeur OCSP vérifie la validité d’un certificat en fonction de l’état de révocation ou d’autres mécanismes. Par rapport à une liste de révocation de certificats (CRL), que SCEPman prend également en charge, une réponse OCSP est toujours à jour et la réponse est disponible en quelques secondes. Une CRL a l’inconvénient d’être basée sur une base de données qui doit être actualisée manuellement et peut contenir beaucoup de données. Lisez une comparaison détaillée de ces mécanismes de révocation[ dans un article de notre blog d’entreprise.](https://www.glueckkanja.com/blog/products/2023/05/certificate-revocation-en/)