顾名思义,Simple Certificate Enrollment Protocol (SCEP) 以尽可能简单的方式向标准网络设备颁发证书。通常,向受管设备分发证书需要多个步骤,包括集成公钥基础设施(PKI),然后建立网关、配置策略、登记证书、授权设备等。
不过,借助 Foxpass 的 SCEP endpoint,可以减少繁琐步骤,让证书注册变得轻松省事。
SCEP 到底是什么?
通常,签发 PKI 证书需要与受信任的证书颁发机构(CA)交换信息。CA 可确保 PKI 证书中的身份和域名与请求信息的网络设备存在合法关联。但借助 SCEP,您只需使用共享密钥和 URL,即可轻松与 PKI 通信。
SCEP 是一种历史悠久且成熟可行的协议,可让 IT 管理员以简单的方式配置并执行证书签发。
SCEP 涉及哪些组成部分?
SCEP Gateway API URL
网关 API URL 用于指示网络设备如何与 API 通信。
SCEP 共享密钥
SCEP 共享密钥由 SCEP 服务器与证书颁发机构(CA)之间交换的区分大小写密码组成。
SCEP 注册流程是如何运作的?
SCEP 注册过程中的主要步骤包括:
添加 SCEP URL。
添加 SCEP 共享密钥。
添加 SCEP 签名证书。
创建并将配置文件分发到您的网络节点。
网络节点使用配置文件自动注册证书。
配置文件可包含配置档,其中包括证书有效期、SCEP 配置名称、密钥大小、允许的失败尝试次数以及重试间隔等参数
允许等。
还可以指定哪些设备可以接收证书。
完成身份验证后,注册即成功。身份验证后,会向网络节点颁发已签名证书。
您可以参考Foxpass 的 SCEP 配置流程,了解在 RADIUS 服务器上使用 SCEP 协议签发证书的详细过程。
SCEP 的使用场景有哪些?
SCEP 可以简化多个网络系统的证书签发流程。SCEP 的使用场景如下:
移动设备管理(MDM)系统使用 SCEP 向其网络中的大量移动设备和智能手机颁发 PKI 证书。按正常的 PKI 认证流程为每台移动设备或智能手机签发证书可能会比较耗时。SCEP 提供了一种可行的替代方案,可减轻网络管理员的工作负担。
基于路由器的系统使用 SCEP 为越来越多连接到其上的设备签发证书。
负载均衡器、Wi-Fi® 集线器、VPN 设备和防火墙通过 SCEP 向连接到更广泛网络的网络节点颁发证书。
SCEP 还使用 RADIUS 身份验证,为所有与 RADIUS 服务器通信的设备签发受信任证书。
使用 SCEP 有哪些好处?
PKIs 为数字身份识别提供最强大的身份验证机制。但是,随着网络设备规模以及它们所连接网络的扩大,这一过程可能会变得复杂。在这种情况下,手动设置和管理 PKI 证书会变成一项耗时的工作,不仅会降低生产力,还容易出错,需要不断纠正。
为设备签发、部署和配置证书,通常轻轻松松就要花上好几个小时。但如果出现人为错误,整个网络都可能在未来遭受攻击。企业也往往会忘记证��书的到期日期。由于证书签发延迟,以及网络设备重新获准连接到网络所需的时间,这会导致系统停机。
因此,手动签发证书的过程不仅繁琐,还可能带来安全相关的影响。SCEP 可为组织带来以下优势:
轻松完成证书签发。
在多台设备上正确签发和配置证书。
只需极少甚至无需人工干预的证书签发自动化流程。
一种节省时间的协议,可降低运营成本,并让 IT 管理员能够专注于手头的其他任务,从而间接提升生产力。
SCEP 支持大多数设备和服务器操作系统,例如 Microsoft Windows、Apple iOS、macOS、Linux,以及像 Active Directory 这样的目录系统,因此能够为各类网络管理需求提供灵活适用的解决方案。
SCEP:Foxpass 如何提供帮助?
您可以在 Apple 或 Windows 设备上,通过 Foxpass 的 SCEP 端点体验 SCEP 的全部优势。
Foxpass 的 SCEP 端点让您能够轻松执行与 PKI 相关的操作。为了更省心,我们签发的证书有效期为 5 年,免去每年续期的麻烦。如果您拥有 Foxpass 的 RADIUS 服务器基础架构,则可以将 SCEP 与其配合使用。RADIUS 和 SCEP 结合使用,可帮助防范攻击,因为它们能让您拒绝对网络发起的不必要授权尝试。
还可以在 Foxpass 控制台中按序列号信息、签发者、状态和到期日期查看已签发的证书。如果认为网络节点证书生效期间发生了不必要的活动,也可以轻松吊销该证书。
借助 Foxpass 全面的安全解决方案,轻松化解安全难题。立即预约演示,亲自看看 Foxpass 的实际表现!
