circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Détails

hashtag
Qu'est-ce que SCEP ?

Généralement, lorsqu'il est nécessaire de déployer des certificats sur des appareils (mobiles), Simple Certificate Enrollment Protocolarrow-up-right (SCEP) est le premier choix. Mais qu'est-ce que SCEP ? SCEP est un Internet draftarrow-up-right protocole standard. Un Internet draft contient des spécifications techniques et des informations techniques. Les Internet drafts sont souvent publiés en tant que Request for Commentsarrow-up-right.

SCEP a été développé à l'origine par Cisco. La mission principale de SCEP est le déploiement de certificats vers des appareils réseau sans aucune interaction utilisateur. Avec l'aide de SCEP, les appareils réseau peuvent demander des certificats par eux-mêmes.

hashtag
Qu'est-ce que SCEPman ?

Si vous utilisez SCEP de manière « traditionnelle », vous avez besoin d'un certain nombre de composants sur site. Microsoft Intune et autres solutions de gestion des appareils mobiles (MDM) permettent aux autorités de certification tierces (ACarrow-up-right) d'émettre et de valider des certificats en utilisant SCEP.

Pour se débarrasser des composants sur site, nous avons développé SCEPman.

circle-exclamation

SCEPman délivre des certificats qui sont destinés à l'authentification et au chiffrement du transport. Cela dit, vous pouvez déployer des certificats utilisateur et appareil utilisés pour l'authentification réseau, le WiFi, le VPN, RADIUS et des services similaires.

Vous pouvez utiliser SCEPman pour des signatures numériques transactionnelles, c.-à-d. pour la signature S/MIME dans Microsoft Outlook. Si vous prévoyez d'utiliser les certificats pour la signature de messages, vous devez ajouter les usages étendus de clé correspondants dans la configuration du profil Intune. Veuillez garder à l'esprit que les certificats SCEPman sont fiables uniquement au sein de votre organisation. SCEPman n'émet pas de certificats reconnus publiquement.

N'utilisez pas SCEPman pour le chiffrement des e-mails c.-à-d. pour le chiffrement S/MIME des courriers dans Microsoft Outlook (sans une technologie distincte de gestion des clés). La nature du protocole SCEP n'inclut pas de mécanisme pour sauvegarder ou archiver le matériel de clé privée. Si vous utilisiez SCEP pour le chiffrement des e-mails, vous pourriez perdre les clés permettant de déchiffrer les messages ultérieurement.

hashtag
Flux de travail SCEPman

Voici une vue d'ensemble du flux de travail SCEPman lors de l'utilisation d'Intune comme solution MDM (les flux sont similaires pour d'autres solutions MDM). La première figure montre l'émission du certificat et la seconde figure montre la validation du certificat.

Processus d'émission de certificat :

Processus de validation de certificat lors de l'authentification basée sur certificat :

hashtag
Fonctionnalités de SCEPman

SCEPman est une application Web Azure avec les fonctionnalités suivantes :

  • Une interface SCEP compatible avec l' API SCEParrow-up-right d'Intune en particulier.

  • SCEPman fournit des certificats signés par une clé racine de CA stockée dans Azure Key Vault.

  • SCEPman contient un répondeur OCSP (voir ci-dessous) pour fournir la validité des certificats / l'auto-révocation en temps réel

  • Un remplacement complet de la PKI héritée dans de nombreux scénarios.

SCEPman crée le certificat racine de la CA lors de l'installation initiale. Cependant, si pour une raison quelconque un autre matériel de clé CA doit être utilisé, il est possible de remplacer cette clé et ce certificat CA par les vôtres dans Azure Key Vault. Par exemple, si vous souhaitez utiliser un certificat Sub CA signé par une Root CA interne existante.

hashtag
Certificate Master

Certificate Master permet aux clients de l'édition Enterprise d'émettre (manuellement) des certificats dans des scénarios où un enrôlement automatique via SCEP / MDM n'est pas possible. Des exemples courants sont l'émission de certificats serveur TLS ou de certificats utilisateur pour cartes à puce / YubiKeys. De plus, avec Certificate Master, les administrateurs peuvent gérer tout certificat émis par SCEPman, qu'il ait été enrôlé automatiquement via SCEP via Intune, Jamf et autres MDM, EST, l' API REST d'enrôlement ou manuellement via l'interface Certificate Master elle-même.

Gestionnaire de certificatschevron-right

hashtag
SCEPman OCSP (Online Certificate Status Protocol)

Le Online Certificate Status Protocol (OCSP)arrow-up-right est un protocole Internet utilisé pour déterminer l'état d'un certificat.

Généralement, un client OCSP envoie une requête d'état à un répondeur OCSP. Un répondeur OCSP vérifie la validité d'un certificat en se basant sur l'état de révocation ou d'autres mécanismes. En comparaison avec une liste de révocation de certificats (CRL), que SCEPman prend également en charge, une réponse OCSP est toujours à jour et la réponse est disponible en quelques secondes. Une CRL a l'inconvénient d'être basée sur une base de données qui doit être actualisée manuellement et peut représenter une grande quantité de données. Lisez une comparaison détaillée de ces mécanismes de révocation dans un article de notre blog d'entreprise.arrow-up-right

Mis à jour

Ce contenu vous a-t-il été utile ?