顧名思義,Simple Certificate Enrollment Protocol (SCEP) 會以最簡單的方式,將憑證簽發給標準網路裝置。一般來說,將憑證分發到受管理裝置通常需要多個步驟,包括整合 Public Key Infrastructure (PKI)、接著建立閘道、設定原則、註冊憑證、授權裝置等等。
不過,透過 Foxpass 的 SCEP endpoint,可以減少繁瑣步驟,讓憑證註冊變得毫不費力。
SCEP 到底是什麼?
一般來說,簽發 PKI 憑證需要與受信任的憑證授權單位(CA)交換資訊。CA 可確保 PKI 憑證中的身分與網域名稱,確實合法地連結到提出資訊請求的網路裝置。但有了 SCEP,您就能透過共用密鑰和 URL,輕鬆與 PKI 進行通訊。
SCEP 是一種歷史悠久且可行的通訊協定,讓 IT 管理員能夠以簡單的方式設定並執行憑證簽發。
SCEP 涉及哪些元件?
SCEP Gateway API URL
閘道 API URL 會指示網路裝置如何與 API 通訊。
SCEP 共用密鑰
SCEP 共用密鑰由 SCEP 伺服器與憑證授權單位(CA)之間交換的區分大小寫密碼組成。
SCEP 註冊流程如何運作?
SCEP 註冊流程包含的主要步驟如下:
新增 SCEP URL。
新增 SCEP 共用密鑰。
新增 SCEP 簽署憑證。
建立並將設定檔分發至網路節點。
網路節點使用設定檔來自動註冊憑證。
設定檔可包含設定檔描述,其中包括憑證的有效期限、SCEP 設定的名稱、金鑰長度、允許的失敗嘗試次數,以及重試間隔等參數
允許的等等。
您也可以指定哪些裝置可以接收憑證。
完成驗證後,即可成功註冊。經過驗證後,系統會將已簽署的憑證發給網路節點。
您可以參考 Foxpass 的 SCEP 設定流程,了解在 RADIUS 伺服器上使用 SCEP 通訊協定簽發憑證的詳細流程。
SCEP 的使用案例有哪些?
SCEP 可簡化為多種網路系統簽發憑證的流程。SCEP 的使用案例如下:
行動裝置管理(MDM)系統 使用 SCEP,為其網路中的大量行動裝置與智慧型手機簽發 PKI 憑證。使用一般 PKI 憑證流程為每台行動裝置或智慧型手機簽發憑證,可能相當耗時。SCEP 提供可行的替代方案,可減輕網路管理人員的工作負擔。
以路由器為基礎的系統使用 SCEP,為越來越多連接到這些系統的裝置簽發憑證。
負載平衡器、Wi-Fi® 集線器、VPN 裝置和防火牆會透過 SCEP 向連接至較大型網路的網路節點發出憑證。
SCEP 也會使用 RADIUS 驗證,向所有與 RADIUS 伺服器通訊的裝置簽發受信任的憑證。
使用 SCEP 有哪些好處?
PKI 提供最強大的數位身分識別驗證機制。然而,當網路裝置的規模以及其所連接的網路持續擴大時,整個流程可能會變得更加複雜。在這種情況下,手動設定與管理 PKI 憑證會變成一項耗時的工作,不僅會降低生產力,還容易出錯,因而需要持續修正。
在裝置上簽發、部署及設定憑證,往往輕易就得花上好幾個小時。但如果發生人工錯誤,整個網路未來都可能遭受攻擊。企業也常常會忘記憑證的到期日。這會因為簽發憑證以及允許網路裝置重新連接到網路的延遲,而導致系統停機。
因此,手動簽發憑證的流程不僅繁瑣,還可能帶來安全相關的影響。SCEP 可為組織帶來以下優勢:
輕鬆完成憑證簽發。
在多部裝置上正確簽發及設定憑證。
幾乎不需要人工介入的憑證簽發自動化流程。
一套省時的通訊協定,可降低營運成本,並讓 IT 管理員能專注於手邊其他工作,進而間接提升生產力。
SCEP 支援大多數裝置與伺服器作業系統,例如 Microsoft Windows、Apple iOS、macOS、Linux,以及像 Active Directory 這類目錄系統,使其成為滿足各種網路管理需求的多功能解決方案。
SCEP:Foxpass 如何提供協助?
您可以透過 Foxpass 的 SCEP 端點,在 Apple 或 Windows 裝置上體驗 SCEP 的所有優勢。
Foxpass 的 SCEP 端點可讓您輕鬆執行與 PKI 相關的作業。為了更省事,我們簽發的憑證有效期為 5 年,免去每年續期的麻煩。如果已有 Foxpass 的 RADIUS 伺服器基礎架構,即可搭配使用 SCEP。RADIUS 和 SCEP 搭配使用,能協助防範攻擊,因為可讓您拒絕對網路發起的不必要授權嘗試。
您也可以在 Foxpass console 中依序號資訊、簽發情況、狀態和到期日檢視已簽發的憑證。如果您認為在網路節點的憑證有效期間發生了不必要的活動,也可以輕鬆撤銷該憑證。
用 Foxpass 全方位的安全解決方案,輕鬆化解資安煩惱。立即預約示範,親自看看 Foxpass 如何運作!
