Hvad er en SCEP-server?
Definition af SCEP-serveren. Hvordan fungerer en SCEP Protocol?
This post is also available in:
English
SCEP er designet til at gøre digitale certifikater der udstedes, så skalerbare som muligt, og dermed gøre det lettere for enhver standardnetværksbruger at kunne anmode om deres digitale certifikat elektronisk og så enkelt som muligt, uden at lægge et stort pres på netværksadministratorerne.
Hvad er SCEP?
Simple Certificate Enrollment Protocol bruges af mange producenter af netværksudstyr og software, der udvikler forenklede måder at håndtere certifikater til storstilet implementering mod almindelige brugere, samt bliver også refereret til i andre branchestandarder.
SCEP er den mest populære testede certifikatregistreringsprotokol og den mest anvendte. De fleste PKI-programmer understøtter den, herunder registreringstjenesten til netværk enheder i Active Directory-certifikattjenesten.
Vigtigheden af at have SCEP
Simple Certificate Enrollment Protocol anvendes normalt på en række tilfælde af certifikatbrug, hvor MDM-systemer (Mobile Device Management) som Microsoft Intune og Apple MDM bruger den til PKI-certifikatregistrering på mobile enheder og smartphones, der bruges af virksomheders medarbejdere.
På denne måde kan mobilenheder godkende forbindelser mellem apps og virksomhedssystemer og ressourcer.
Hvorfor skal du bruge SCEP?
offentlig nøgle Infrastruktur tilbyder den stærkeste og nemmeste godkendelses- og kryptografiske løsning til digital identitet, men kompleksiteten og omfanget af certifikatimplementering for de fleste virksomheder kan blive en udfordring for it-teams.
Det er tidskrævende at installere og administrere certifikater manuelt, og det kan føre til fejl, idet end-to-end-processen med at udstede, konfigurere og installere et certifikat tager flere timer. Manglende tid og brug af offentlig infrastruktur efterlader virksomheder udsat for unødvendig risiko for pludselige udfald eller svigt af kritiske forretningssystemer sammen med brud og MITM-angreb.
Hvordan fungerer SCEP?
API URL
SCEP instruerer enhederne i, hvordan de kommunikerer med PKI, ved hjælp af en Gateway API-URL, hvilket gør det muligt for kunder, der bruger SecureW2, nemt at generere en SCEP Gateway API URL med vores software. Derefter kan de placere denne URL-adresse i deres MDM, så den kan sende en nyttelast til enheder, de vil tilmelde til klientcertifikater.
SCEP Shared Secret
Shared Secret repræsenterer en adgangskode, hvor der skelnes mellem store og små bogstaver, der er betroet mellem SCEP-serveren og Certifikat Autoriteten (CA) med det formål at verificere CA med den rigtige server til signering af certifikater.
Anmodning om SCEP-certifikat
Når SCEP-gatewayen er konfigureret, og The Shared Secret deles mellem SCEP-serveren og CA’en, kan du oprette og distribuere en konfigurationsprofil, der gør det muligt for administrerede enheder automatisk at tilmelde sig certifikater ved at sende en certifikatregistrering tilbage via SCEP-gatewayen til CA’en for at installere det signerede certifikat på enheden.
SCEP-signeringscertifikat
De fleste MDM’er kræver, at du overfører et SCEP-signeringscertifikat, der er signeret af den CA, der udsteder certifikater, og som omfatter hele certifikatkæden (signeringscertifikat, Mellemliggende CA, Root CA).
Simpel integration af certifikatregistreringsprotokol
Microsoft WSTEP-protokol
WS-Trust X.509v3 Token Enrollment Extensions Protocol (WSTEP), der er udviklet af Microsoft, har samme grundlæggende forudsætning som SCEP. oprette en sikker forbindelse mellem MDM og enheder til afsendelse af data. Selvom SCEP fungerer for de fleste MDM’er, fungerer det ikke for Microsoft-gruppepolitikobjektet.
Integration af SCEP og Microsoft Intune
Selvom Microsoft-gruppepolitikobjektet muligvis ikke oprindeligt understøtter SCEP, kan Microsoft Intune konfigureres til at distribuere certifikater med SCEP. Via gatewayen kan enheder modtage konfigurationsprofiler, så de kan anmode om at tilmelde sig certifikater.
Konfiguration af Intune til at arbejde med SCEP svarer meget til, hvordan de fleste MDM’er bruger vores SCEP Gateway API.
Wi-Fi-godkendelse af certifikatenhed
SCEP automatiserer certifikatregistreringsprocessen, så godkendelse strømlines, hvilket sparer meget tid og mange ressourcer for mange organisationer med MDM’er, ved hjælp af en EAP-TLS (Extensible Authentication Protocol).
Heimdal® Privileged Access Management
- Automate the elevation of admin rights on request;
- Approve or reject escalations with one click;
- Provide a full audit trail into user behavior;
- Automatically de-escalate on infection;
Det er velkendt, at manuel certifikatstyring udsætter virksomheder for betydelig risiko ved at øge sandsynligheden for, at certifikater kan glemmes, indtil de udløber, eller der kan opstå huller i deres ejerskab.
Med for mange potentielle faldgruber, når du administrerer PKI-certifikater manuelt, bør virksomheder automatisere certifikatregistreringsstandarden.
Enkel certifikatregistreringsprotokol er en god måde at sikre, at certifikater udstedes og konfigureres korrekt på et stort antal enheder uden menneskelig indgriben. Denne automatisering hjælper med at reducere risikoen og gør det muligt for it-afdelinger at styre driftsomkostningerne.