Простой протокол регистрации сертификатов

Простой протокол регистрации сертификатов (SCEP) описан в информационном документе. RFC   8894 . Старые версии этого протокола стали де-факто промышленным стандартом для практического предоставления цифровых сертификатов, в основном для сетевого оборудования.

запрос и выдачу цифровых сертификатов Протокол был разработан, чтобы максимально упростить для любого обычного пользователя сети. Эти процессы обычно требуют интенсивного участия сетевых администраторов и поэтому не подходят для крупномасштабного развертывания.

Простой протокол регистрации сертификатов по-прежнему является наиболее популярным и широко доступным протоколом регистрации сертификатов, который используется многочисленными производителями сетевого оборудования и программного обеспечения, которые разрабатывают упрощенные средства обработки сертификатов для крупномасштабного внедрения среди обычных пользователей. ^{[ нужна ссылка ]} Он используется, например, операционной системой межсетевого взаимодействия Cisco (IOS), хотя Cisco продвигает регистрацию через защищенный транспорт (EST) с дополнительными функциями и iPhone ( iOS ) для регистрации в корпоративной инфраструктуре открытых ключей (PKI). ^[1] Большинство программного обеспечения PKI (в частности, реализации RA) поддерживают его, включая службу регистрации сетевых устройств (NDES) службы сертификатов Active Directory и Intune . ^[2]

• Устаревшие версии SCEP, которые до сих пор используются в подавляющем большинстве реализаций, ограничены регистрацией сертификатов только для ключей RSA.
• Из-за использования самозаверяющего формата PKCS#10 для запросов на подпись сертификата (CSR) сертификаты можно зарегистрировать только для ключей, которые поддерживают подпись (в той или иной форме). Ограничение, общее для других протоколов регистрации, основанных на CSR PKCS#10, например, EST и ACME , или даже для веб-процесса регистрации большинства программного обеспечения PKI, где запрашивающая сторона начинает с создания пары ключей и CSR в формате PKCS#10. Например, ACME , который также использует PKCS#10, выдает сертификаты TLS, которые по определению должны иметь возможность подписи для подтверждения TLS. Однако это различие пока в основном теоретическое, поскольку на практике все алгоритмы, обычно используемые с сертификатами, поддерживают подпись. Это может измениться с появлением постквантовой криптографии, где некоторые ключи поддерживают только KEM . Формат CRMF, используемый CMP и CMS, здесь более гибок и поддерживает также ключи, которые можно использовать только для шифрования.
• Хотя подтверждение происхождения запросов на регистрацию сертификатов, т. е. аутентификация запрашивающего сертификат, является наиболее важным требованием безопасности, по прагматическим соображениям его поддержка не является строго обязательной в SCEP. Аутентификация клиента на основе подписи с использованием уже существующего сертификата была бы предпочтительным механизмом, но во многих случаях использования она невозможна или не поддерживается данными развертываниями. В качестве альтернативы SCEP просто обеспечивает использование общего секрета, который должен быть специфичным для клиента и использоваться только один раз.
• Конфиденциальность общего секрета, который опционально используется для аутентификации источника, хрупка, поскольку он должен быть включен в поле «challengePassword» CSR, которое затем защищается внешним шифрованием. Было бы более безопасно использовать алгоритм MAC на основе пароля, такой как HMAC.
• Шифрование всей структуры PKCS#10 для защиты поля «challengePassword» (которое используется для аутентификации автономного источника) имеет еще один недостаток: весь CSR становится нечитаемым для всех сторон, кроме предполагаемого конечного получателя (CA). хотя большая часть его содержания не является конфиденциальной. Таким образом, структура PKCS#10 не может быть проверена промежуточными агентами, такими как RA.

SCEP был разработан Verisign для Cisco. ^[3] как экономичная альтернатива управлению сертификатами через CMS (CMC) и очень мощному, но в то же время довольно громоздкому протоколу управления сертификатами (CMP). Он получил поддержку со стороны Microsoft на ранних этапах его постоянного включения в Windows, начиная с Windows 2000 . ^[4] Примерно в 2010 году Cisco приостановила работу над SCEP и вместо этого разработала EST . В 2015 году Питер Гутманн возродил Internet Draft из-за широкого использования SCEP в промышленности и других стандартах. ^[5] Он обновил проект, добавив в него более современные алгоритмы и исправив многочисленные проблемы в исходной спецификации. В сентябре 2020 года проект был опубликован в качестве информационного. RFC   8894 , более чем через двадцать лет после начала усилий по стандартизации. ^[6] Новая версия также поддерживает регистрацию сертификатов, отличных от RSA (например, для ECC открытых ключей ).

• Протокол управления сертификатами (CMP)
• Управление сертификатами через CMS (CMC)
• Регистрация через Secure Transport (EST)
• Автоматизированная среда управления сертификатами (ACME)

• Слайд с описанием SCEP: pkix-3.pdf