circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search
Ctrlk

Detalhes

hashtag
O que é SCEP?

Normalmente, quando é necessário implementar certificados em dispositivos (móveis), Simple Certificate Enrollment Protocolarrow-up-right (SCEP) é a primeira opção. Mas o que é SCEP? SCEP é um rascunho da Internetarrow-up-right protocolo padrão. Um rascunho da Internet contém especificações técnicas e informações técnicas. Os rascunhos da Internet são frequentemente publicados como um Request for Commentsarrow-up-right.

O SCEP foi originalmente desenvolvido pela Cisco. A missão principal do SCEP é a implementação de certificados em dispositivos de rede sem qualquer interação do utilizador. Com a ajuda do SCEP, os dispositivos de rede podem solicitar certificados por conta própria.

hashtag
O que é SCEPman?

Se utilizar o SCEP de uma forma 'tradicional', precisa de vários componentes locais. O Microsoft Intune e outras soluções de Mobile Device Management (MDM) permitem a autoridades de certificação (CA) de terceirosarrow-up-rightemitir e validar certificados usando SCEP.

Para nos livrarmos dos componentes locais, desenvolvemos o SCEPman.

circle-exclamation

O SCEPman emite certificados que são destinados à autenticação e à encriptação de transporte. Dito isto, pode implementar certificados de utilizador e de dispositivo usados para autenticação de rede, WiFi, VPN, RADIUS e serviços semelhantes.

Pode usar o SCEPman para assinaturas digitais transacionais ou seja, para assinatura S/MIME no Microsoft Outlook. Se planear utilizar os certificados para assinatura de mensagens, precisa de adicionar as correspondentes utilizações alargadas de chave na configuração do perfil do Intune. Tenha em mente que os certificados SCEPman são confiáveis apenas na sua organização. O SCEPman não emite certificados com confiança pública.

Não use o SCEPman para encriptação de e-mail ou seja, para encriptação de correio S/MIME no Microsoft Outlook (sem uma tecnologia separada para gestão de chaves). A natureza de o protocolo SCEP não inclui um mecanismo para fazer backup ou arquivar material de chave privada. Se utilizasse o SCEP para encriptação de e-mail, poderá perder as chaves para desencriptar as mensagens posteriormente.

hashtag
Fluxo de trabalho do SCEPman

Aqui está uma visão geral do fluxo de trabalho do SCEPman ao usar o Intune como solução MDM (os fluxos são semelhantes para outras soluções MDM). A primeira figura mostra a emissão do certificado e a segunda figura mostra a validação do certificado.

Processo de emissão de certificados:

Processo de validação de certificados durante a autenticação baseada em certificados:

hashtag
Funcionalidades do SCEPman

O SCEPman é uma Azure Web App com as seguintes funcionalidades:

  • Uma interface SCEP compatível com a SCEP APIarrow-up-right em particular.

  • O SCEPman fornece certificados assinados por uma chave raiz de CA armazenada em Azure Key Vault.

  • O SCEPman contém um respondedor OCSP (ver abaixo) para fornecer validade do certificado / revogação automática em tempo real

  • Um substituto completo da Legacy PKI em muitos cenários.

O SCEPman cria o certificado raiz da CA durante a instalação inicial. No entanto, se, por qualquer motivo, deva ser utilizado um material de chave de CA alternativo, é possível substituir esta chave e certificado de CA pelo seu próprio no Azure Key Vault. Por exemplo, se pretender utilizar um certificado de Sub CA assinado por uma Root CA interna existente.

hashtag
Certificate Master

O Certificate Master permite aos clientes da Enterprise Edition emitirem (manualmente) certificados em cenários onde o registo automático via SCEP / MDM não é possível. Exemplos comuns são a emissão de certificados TLS de servidor ou certificados de utilizador para smart cards / YubiKeys. Além disso, com o Certificate Master, os administradores podem gerir qualquer certificado emitido pelo SCEPman, quer tenha sido registado automaticamente através de SCEP via Intune, Jamf e outros MDMs, EST, a Enrollment REST API ou manualmente através da própria interface do Certificate Master.

Certificate Masterchevron-right

hashtag
SCEPman OCSP (Online Certificate Status Protocol)

O Online Certificate Status Protocol (OCSP)arrow-up-right é um protocolo da Internet utilizado para determinar o estado de um certificado.

Normalmente, um cliente OCSP envia um pedido de estado a um respondedor OCSP. Um respondedor OCSP verifica a validade de um certificado com base no estado de revogação ou noutros mecanismos. Em comparação com uma lista de revogação de certificados (CRL), que o SCEPman também suporta, uma resposta OCSP está sempre atualizada e a resposta fica disponível em segundos. Uma CRL tem a desvantagem de se basear numa base de dados que tem de ser atualizada manualmente e pode conter muitos dados. Leia uma comparação detalhada destes mecanismos de revogação num artigo no blogue da nossa empresa.arrow-up-right

Last updated

Was this helpful?