In diesem Abschnitt wird die eigentliche Zertifikatsregistrierung ausführlich beschrieben. Der hier beschriebene Prozess entspricht den Schritten 7 bis 10 im Gesamtprozess.
Die Registrierungsanfrage und die Antwort der CA, die die Anfrage enthält
-
Der Client fordert das öffentliche Zertifikat der CA vom SCEP-Server an.
-
Der SCEP-Server sendet das öffentliche Zertifikat der CA an den Client.
-
Der Client überprüft das öffentliche Zertifikat der CA anhand des entsprechenden Fingerabdrucks. Der Fingerabdruck wurde vom Administrator über ein UMS Profil bereitgestellt; siehe Definieren der Zertifizierungsstelle.
-
Der Client sendet eine Registrierungsanfrage an den SCEP-Server. Diese Registrierungsanfrage ist eine HTTP-GET-Anfrage, die Folgendes enthält:
Signierte Daten PKCS7
Umhüllte Daten PKCS7
Antrag auf Unterzeichnung eines Zertifikats (PKCS 10)
Version
Hashing-Algorithmus
Signierte (nicht verschlüsselte) Daten:
Version
Empfänger und zugehöriger Verschlüsselungsschlüssel für verschlüsselte Daten; der Empfänger ist die CA.
Verschlüsselte Daten:
(verschlüsselt mit einem zufällig generierten Schlüssel, der mit dem öffentlichen Schlüssel des Empfängers verschlüsselt ist)
Version
Gewünschter Name des Betreffs
Öffentlicher Schlüssel des Kunden
Passwort anfordern
Beantragte Erweiterungen
Signatur-Algorithmus
Digitale Unterschrift
Client-Zertifikat
Digitale Unterschrift
-
Wenn die Anfrage erfolgreich war, enthält die HTTP-Antwort vom SCEP-Server die folgenden Daten:
Signierte Daten PKCS7
Umhüllte Daten PKCS7
Degenerierte Zertifikate (nur PKCS7)
Version
Hashing-Algorithmus
Signierte (nicht verschlüsselte) Daten:
Version
Liste der Begünstigten
Verschlüsselte Daten:
Version
Ausgestelltes X.509-Zertifikat
CA-Zertifikat
Digitale Unterschrift