Online-Hilfe

SCEP - Simple Certificate Enrolment Protocol

Das Protokoll für das einfache Ausrollen von Zertifikaten erhöht die Skalierbarkeit der Ausrollung bei größeren Netzwerk-Umgebungen mit PKI (Public-Key-Infrastruktur). Neben dem anfänglichen Ausrollen der Zertifikate wird auch die regelmäßige Erneuerung der Zertifikate unterstützt. Dabei sendet der Client automatisiert eine Anfrage für die Erneuerung eines Zertifikats an den SCEP-Server wenn die restliche Lebensdauer des Zertifikats eine bestimmte Schwelle unterschreitet. Für eine Erhöhung der Sicherheit kann dadurch die Lebensdauer eines Zertifikats deutlich kürzer festgelegt werden, als dies bei einer manuellen Erstellung und Ausrollung praktikabel wäre. Das Vorhandensein von neuen Widerrufslisten (CRLs) auf dem SCEP-Server kann in regelmäßigen Abstanden abgefragt werden.

Sämtliche mit SCEP bezogenen Zertifikate, Schlüssel und Widerrufslisten stehen in den entsprechenden Dropdown-Listen zur Auswahl zur Verfügung. Dabei muss die SCEP-Instanz ausgewählt werden, welche das erforderliche Zertifikat bezieht.

Wenn ein SCEP-Server konfiguriert ist und das Profil aktiviert wird, ist der Ablauf wie folgt:

  • Der Client erstellt seinen eigenen privaten Schlüssel
  • Der Client erstellt eine Zertifikatsanfrage (Certificate Signing Request, CSR)
  • Der Client bezieht das CA-Zertifikat vom SCEP-Server
  • Der Client sendet die Zertifikatsanfrage im PKCS#10-Format im Rahmen eines "Enrolment" an den SCEP-Server
  • Der SCEP-Server akzeptiert das "Enrolment" entweder durch den Eingriff eines Administrators oder automatisiert nach Autorisierung mittels einem Challenge-Passwort; daraufhin erstellt er das Client-Zertifikat und signiert es mit der CA
  • Der Client pollt regelmäßig (Parameter Zeitintervall für automatisches Ausrollen und Erneuern) den SCEP-Server, um zu prüfen, ob das "Enrolment" akzeptiert wurde, und bezieht das Zertifikat im positiven Fall
  • Der Client prüft regelmäßig die verbleibende Lebensdauer seines Zertifikats und sendet im Rahmen eines "Renewal" eine neue CSR wenn die verbleibende Lebensdauer einen Grenzwert unterschreitet (Parameter Anteil der Lebensdauer vor der automatischen Erneuerung); wenn das daraufhin bezogene neue Zertifikat bereits gültig ist, ersetzt der Client sein Zertifikat durch das neue Zertifikat; sollte es noch nicht gültig sein, erfolgt die Ersetzung sobald das neue Zertifikat gültig wird
  • Der Client prüft regelmäßig, ob eine neue Widerrufsliste (Certificate Revocation List, CRL) auf dem SCEP-Server vorhanden ist (Parameter Zeitintervall für das Prüfen auf eine CRL) und bezieht diese im positiven Fall
  • Beim Erhalt einer neuen CRL wird geprüft, ob das eigene Zertifikat darin gesperrt wurde; wenn dies der Fall ist, wird eine neue CSR erstellt und an den Server gesendet
Für den Fall, dass die Gültigkeit des CA-Zertifikats ausläuft, wird im Rahmen eines "Rollover" das CA-Zertifikat sowie das Client-Zertifikat ausgetauscht.

Client-Zertifikat und -Schlüssel, CA-Zertifikat und CRL werden nicht im Profil des Routers gespeichert und können somit auch nicht durch das Herunterladen und Wiederhochladen eines Profils im Binärformat auf einen anderen Router dupliziert werden.

Es ist nicht möglich, den privaten Schlüssel auf irgendeinem Weg (wie Web-Interface, CLI, ASCII-Konfiguration oder Binär-Konfiguration) vom Router herunterzuladen!

Im Web-Interface des Routers wird im Menü Administration auf der Seite SCEP der aktuelle Zustand jeder SCEP-Instanz unter Status angezeigt. Dabei sind folgende Zustände möglich:

  • Inaktiv
  • Nicht im laufenden Profil enthalten
  • Privater Schlüssel wird erstellt
  • CA-Zertifikat wird heruntergeladen
  • Warten auf Zertifaktsfreigabe
  • Zertifikat vorhanden
  • Zertifikat und CRL vorhanden
  • Fehler: Invalide Konfiguration
  • Fehler: Privater Schlüssel konnte nicht erstellt werden
  • Fehler: CSR konnte nicht erstellt werden
  • Fehler: CA-Zertifikat konnte nicht heruntergeladen werden
  • Fehler: Zertifikat konnte nicht heruntergeladen werden
  • Fehler: Zertifikatsüberprüfung fehlgeschlagen
  • Fehler: CRL konnte nicht heruntergeladen werden
  • Fehler: Zertifikat wurde zurückgezogen

Zurück zur Übersicht