# Detalhes

## O que é SCEP?

Normalmente, quando é necessário implementar certificados em dispositivos (móveis), [Simple Certificate Enrollment Protocol](https://www.rfc-editor.org/rfc/rfc8894.html) (SCEP) é a primeira opção. Mas o que é SCEP? SCEP é um [rascunho da Internet](https://en.wikipedia.org/wiki/Internet_Draft) protocolo padrão. Um rascunho da Internet contém especificações técnicas e informações técnicas. Os rascunhos da Internet são frequentemente publicados como um [Request for Comments](https://en.wikipedia.org/wiki/Request_for_Comments).

O SCEP foi originalmente desenvolvido pela Cisco. A missão principal do SCEP é a implementação de certificados em dispositivos de rede sem qualquer interação do utilizador. Com a ajuda do SCEP, os dispositivos de rede podem solicitar certificados por conta própria.

## O que é SCEPman?

Se utilizar o SCEP de uma forma 'tradicional', precisa de vários componentes locais. O Microsoft Intune e [outras soluções de Mobile Device Management (MDM)](https://docs.scepman.com/pt/use-cases#mdm-solutions) permitem [a autoridades de certificação (CA) de terceiros](https://learn.microsoft.com/en-us/mem/intune/protect/certificate-authority-add-scep-overview)emitir e validar certificados usando SCEP.

Para nos livrarmos dos componentes locais, desenvolvemos o SCEPman.

{% hint style="warning" %}
O SCEPman emite certificados que são **destinados à autenticação e à encriptação de transporte**. Dito isto, pode implementar certificados de utilizador e de dispositivo usados para autenticação de rede, WiFi, VPN, RADIUS e serviços semelhantes.

**Pode** usar o SCEPman para assinaturas digitais **transacionais** ou seja, para assinatura S/MIME no Microsoft Outlook. Se planear utilizar os certificados para assinatura de mensagens, precisa de adicionar as correspondentes utilizações alargadas de chave na configuração do perfil do Intune. Tenha em mente que os certificados SCEPman são confiáveis apenas na sua organização. O SCEPman não emite certificados com confiança pública.

**Não** use o SCEPman **para encriptação de e-mail** ou seja, para encriptação de correio S/MIME no Microsoft Outlook (sem uma tecnologia separada para gestão de chaves). A natureza de **o protocolo SCEP não inclui um mecanismo para fazer backup ou arquivar material de chave privada.** Se utilizasse o SCEP para encriptação de e-mail, poderá perder as chaves para desencriptar as mensagens posteriormente.
{% endhint %}

### Fluxo de trabalho do SCEPman

Aqui está uma visão geral do fluxo de trabalho do SCEPman ao usar o Intune como solução MDM (os fluxos são semelhantes para outras soluções MDM). A primeira figura mostra a emissão do certificado e a segunda figura mostra a validação do certificado.

Processo de emissão de certificados:

![](https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-7cb95c3dd3eb55459521c578fe749dbc9a464d12%2FOverview1.png?alt=media)

Processo de validação de certificados durante a autenticação baseada em certificados:

![](https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-b28ed2d4261ddb510cd7bd697a559b483f88adca%2FOverview2.png?alt=media)

### Funcionalidades do SCEPman

O SCEPman é uma Azure Web App com as seguintes funcionalidades:

* Uma interface SCEP compatível com a [SCEP API](https://learn.microsoft.com/en-us/mem/intune/protect/certificate-authority-add-scep-overview) em particular.
* O SCEPman fornece certificados assinados por uma chave raiz de CA armazenada em **Azure Key Vault**.
* O SCEPman contém um **respondedor OCSP** (ver abaixo) para fornecer [validade do certificado / revogação automática](https://docs.scepman.com/pt/gerenciamento-de-certificados/manage-certificates#automatic-revocation) em tempo real
* Um substituto completo da Legacy PKI em muitos cenários.

O SCEPman cria o certificado raiz da CA durante a instalação inicial. No entanto, se, por qualquer motivo, deva ser utilizado um material de chave de CA alternativo, é possível substituir esta chave e certificado de CA pelo seu próprio no Azure Key Vault. Por exemplo, se pretender utilizar um certificado de Sub CA assinado por uma Root CA interna existente.

#### Certificate Master

O Certificate Master permite [aos clientes da Enterprise Edition](https://docs.scepman.com/pt/editions#edition-comparison) emitirem (manualmente) certificados em cenários onde o registo automático via SCEP / MDM não é possível. Exemplos comuns são a emissão de [certificados TLS de servidor](https://docs.scepman.com/pt/gerenciamento-de-certificados/certificate-master/tls-server-certificate-pkcs-12) ou certificados de utilizador para [smart cards / YubiKeys](https://docs.scepman.com/pt/gerenciamento-de-certificados/certificate-master/user-certificate). Além disso, com o Certificate Master, os administradores podem [gerir](https://docs.scepman.com/pt/gerenciamento-de-certificados/manage-certificates) qualquer certificado emitido pelo SCEPman, quer tenha sido registado automaticamente através de SCEP via Intune, Jamf e outros MDMs, EST, a [Enrollment REST API](https://docs.scepman.com/pt/gerenciamento-de-certificados/api-certificates) ou manualmente através da própria interface do Certificate Master.

{% content-ref url="gerenciamento-de-certificados/certificate-master" %}
[certificate-master](https://docs.scepman.com/pt/gerenciamento-de-certificados/certificate-master)
{% endcontent-ref %}

### SCEPman OCSP (Online Certificate Status Protocol)

O [Online Certificate Status Protocol (OCSP)](https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol) é um protocolo da Internet utilizado para determinar o estado de um certificado.

Normalmente, um cliente OCSP envia um pedido de estado a um respondedor OCSP. Um respondedor OCSP verifica a validade de um certificado com base no estado de revogação ou noutros mecanismos. Em comparação com uma lista de revogação de certificados (CRL), que o SCEPman também suporta, uma resposta OCSP está sempre atualizada e a resposta fica disponível em segundos. Uma CRL tem a desvantagem de se basear numa base de dados que tem de ser atualizada manualmente e pode conter muitos dados. Leia uma comparação detalhada destes mecanismos de revogação[ num artigo no blogue da nossa empresa.](https://www.glueckkanja.com/blog/products/2023/05/certificate-revocation-en/)