Das Simple Certificate Enrollment Protocol (SCEP) definiert eine Vorgehensweise zum automatischen Einspielen von Zertifikaten für die Authentifizierung von Netzwerkgeräten oder VPNs. Der Client verwendet HTTP zum Empfangen von Wurzelzertifikaten, dem Senden von Zertifikatsanfragen sowie dem Empfangen von Client-Zertifikaten vom Server.
In nachfolgender Darstellung ist ein typischer Registrierungsstelle dargestellt.
Das Gerät erzeugt ein RSA-Public-Private-Schlüsselpaar.
Der Administrator fordert beim SCEP-Dienst ein Challenge-Passwort an.
Das Challenge-Passwort wird nur bei der erstmaligen Registrierung benötigt. Bei Zertifikatserneuerungen wird das aktuelle Zertifikat zur Authentifizierung verwendet.
Der SCEP-Server fragt beim Domänencontroller an, ob der Administrator über die für die konfigurierten Zertifikatsvorlagen erforderlichen Rechte verfügt.
Der Domänencontroller bestätigt, dass der Administrator über die erforderlichen Rechte verfügt.
Der SCEP-Server erzeugt ein Challenge-Passwort und übertragt es zum Administrator.
Normalerweise verfällt das Challenge-Passwort nach einer bestimmten Zeit. Beim in Windows 2008 enthaltenen NDES beträgt diese Zeit standardmäßig 60 Minuten.
Das Challenge-Passwort, der CA-Identifier sowie der Fingerprint des CA-Zeritifkats werden vom Administrator dem Client bereitgestellt.
Das Gerät sendet die Registrierungsanfrage an den SCEP-Server, wobei es zur Authentifizierung das Challenge-Passwort verwendet. Dieser Vorgang wird vom Administrator ausgelöst.
Der SCEP-Server signiert das Registrierungszertifikat mit dem Enrollment-Agent-Zertifikat und sendet es an die Certificate Authority (CA).
Die CA stellt das angeforderte Zertifikat aus und sendet es an den SCEP-Server.
Der SCEP-Server sendet das Zertifikat an das Gerät.
