circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Detalhes

hashtag
O que é SCEP?

Normalmente, quando é necessário implantar certificados em dispositivos (móveis), Protocolo Simples de Inscrição de Certificadosarrow-up-right (SCEP) é a primeira escolha. Mas o que é SCEP? SCEP é um rascunho da Internetarrow-up-right protocolo padrão. Um rascunho da Internet contém especificações técnicas e informações técnicas. Rascunhos da Internet são frequentemente publicados como um Pedido de Comentáriosarrow-up-right.

O SCEP foi originalmente desenvolvido pela Cisco. A missão principal do SCEP é a implantação de certificados em dispositivos de rede sem quaisquer interações do usuário. Com a ajuda do SCEP, dispositivos de rede podem solicitar certificados por conta própria.

hashtag
O que é SCEPman?

Se você usar o SCEP de maneira 'tradicional' precisa de diversos componentes locais. O Microsoft Intune e outras soluções de Gerenciamento de Dispositivos Móveis (MDM) soluções permitem que autoridades certificadoras (CAarrow-up-right) de terceiros emitam e validem certificados usando SCEP.

Para se livrar dos componentes locais desenvolvemos o SCEPman.

circle-exclamation

O SCEPman emite certificados que são destinados à autenticação e criptografia de transporte. Ou seja, você pode implantar certificados de usuário e de dispositivo usados para autenticação de rede, WiFi, VPN, RADIUS e serviços similares.

Você pode usar o SCEPman para assinaturas digitais transacionais ou seja, para assinatura S/MIME no Microsoft Outlook. Se você planeja usar os certificados para assinatura de mensagens, precisa adicionar as respectivas finalidades de chave estendidas na configuração do perfil do Intune. Por favor, tenha em mente que os certificados do SCEPman são confiáveis apenas na sua organização. O SCEPman não emite certificados confiáveis publicamente.

Não use o SCEPman para criptografia de email ou seja, para criptografia de email S/MIME no Microsoft Outlook (sem uma tecnologia separada para gerenciamento de chaves). A natureza do protocolo SCEP não inclui um mecanismo para backup ou arquivamento do material de chave privada. Se você usar o SCEP para criptografia de email pode perder as chaves para descriptografar as mensagens posteriormente.

hashtag
Fluxo de trabalho do SCEPman

Aqui está uma visão geral do fluxo de trabalho do SCEPman ao usar o Intune como solução MDM (os fluxos são semelhantes para outras soluções MDM). A primeira figura mostra a emissão do certificado e a segunda figura mostra a validação do certificado.

Processo de emissão de certificado:

Processo de validação de certificado durante a autenticação baseada em certificado:

hashtag
Recursos do SCEPman

O SCEPman é um Aplicativo Web do Azure com os seguintes recursos:

  • Uma interface SCEP que é compatível com a API SCEParrow-up-right do Intune, em particular.

  • O SCEPman fornece certificados assinados por uma chave raiz da CA armazenada no Azure Key Vault.

  • O SCEPman contém um respondedor OCSP (veja abaixo) para fornecer validade do certificado / auto-revogação em tempo real

  • Uma substituição completa da PKI legada em muitos cenários.

O SCEPman cria o certificado raiz da CA durante a instalação inicial. Entretanto, se por qualquer motivo um material de chave CA alternativo precisar ser usado, é possível substituir essa chave e certificado da CA pelos seus próprios no Azure Key Vault. Por exemplo, se você quiser usar um certificado Sub CA assinado por uma Root CA interna existente.

hashtag
Gerenciador de Certificados

O Gerenciador de Certificados permite Edição Empresarial aos clientes emitirem (manualmente) certificados em cenários onde um registro automático via SCEP/MDM não é possível. Exemplos comuns são a emissão de certificados de servidor TLS ou certificados de usuário para smart cards / YubiKeys. Além disso, com o Gerenciador de Certificados, administradores podem gerenciar qualquer certificado emitido pelo SCEPman, quer tenham sido inscritos automaticamente via SCEP através do Intune, Jamf e outros MDMs, EST, a API REST de Inscrição ou manualmente via a própria interface do Gerenciador de Certificados.

Gerenciador de Certificadoschevron-right

hashtag
SCEPman OCSP (Protocolo Online de Status de Certificado)

O Protocolo Online de Status de Certificado (OCSP)arrow-up-right é um protocolo da Internet que é usado para determinar o estado de um certificado.

Normalmente, um cliente OCSP envia uma solicitação de status para um respondededor OCSP. Um respondededor OCSP verifica a validade de um certificado com base no estado de revogação ou outros mecanismos. Em comparação com uma lista de revogação de certificados (CRL), que o SCEPman também suporta, uma resposta OCSP está sempre atualizada e a resposta está disponível em segundos. Uma CRL tem a desvantagem de que é baseada em um banco de dados que deve ser atualizado manualmente e pode conter uma grande quantidade de dados. Leia uma comparação detalhada desses mecanismos de revogação em um artigo em nosso blog corporativo.arrow-up-right

Last updated

Was this helpful?