Das Simple Zertifikat Enrollment Protocol (SCEP) definiert eine Methode zur automatischen Registrierung von Zertifikaten für die Authentifizierung von Netzwerkgeräten oder VPNs. Der Client verwendet HTTP-Anfragen, um Root-Zertifikate abzurufen, um Zertifikatsanforderungen zu senden und um Client-Zertifikate vom Server abzurufen.
Eine ausführliche Beschreibung finden Sie im Microsoft-Technet-Artikel "Network Device Enrollment Service (NDES) in Active Directory Zertifikat Services (AD CS)" unter http://aka.ms/ndes.
Hier ein typischer Ablauf der Zertifikatsregistrierung:
-
Das Gerät erstellt ein RSA-Schlüsselpaar aus öffentlichem und privatem Schlüssel.
-
Der Administrator fordert ein Challenge-Passwort vom SCEP-Dienst (z. z. B. NDES).
Das Challenge-Passwort ist nur für die erste Registrierungsanfrage erforderlich. Bei der Zertifikatserneuerung wird das aktuelle Zertifikat zur Authentifizierung verwendet.
-
Der SCEP-Server fragt den Domänencontroller, ob der Administrator die erforderlichen Berechtigungen für die konfigurierten Zertifikatsvorlagen besitzt.
-
Der Domänencontroller bestätigt, dass der Administrator die erforderlichen Berechtigungen besitzt.
-
Der SCEP-Server erstellt ein Challenge-Passwort und übergibt es dem Administrator.
Typischerweise verfällt das Challenge-Passwort nach einer bestimmten Zeit. Bei dem in Windows 2008 Server enthaltenen NDES beträgt die standardmäßige Ablaufzeit 60 Minuten.
-
Der Administrator stellt dem Gerät das Challenge-Passwort, die CA-Kennung und den Fingerabdruck des CA-Zertifikats zur Verfügung.
-
Das Gerät sendet die Registrierungsanforderung an den SCEP-Server und verwendet das Challenge-Passwort zur Authentifizierung beim SCEP-Server. Diese Aktion wird vom Administrator ausgelöst.
-
Der SCEP-Server signiert die Enrollment-Anfrage mit seinem Enrollment-Agent-Zertifikat und sendet es an die CA.
-
Die CA stellt das gewünschte Zertifikat aus und sendet es an den SCEP-Server zurück.
-
Der SCEP-Server sendet das Zertifikat an das Gerät zurück.