Cryptography Reference
In-Depth Information
Beispiel 3: SCEP-Enrollment
Das
Simple Certificate Enrollment Protocol
(S
CEP
) ist ein Protokoll, das ein
Enrollment über ein Computernetz unterstützt [LiMaMN]. Das Protokoll wurde
von der Firma Cisco entwickelt (Gleiches gilt auch für das Vorgängerprotokoll
CEP), wird jedoch inzwischen auch von zahlreichen anderen Herstellern unter-
stützt. Demnächst wird es voraussichtlich in Form eines RFC zum offiziellen
Standard werden. Der Name des Protokolls ist etwas irreführend, denn SCEP
dient nicht nur dem Enrollment. Vielmehr sieht es auch Protokollnachrichten für
die Verteilung des öffentlichen CA- oder RA-Schlüssels, für die Sperrung eines
Zertifikats sowie für das Herunterladen eines Zertifikats oder einer Sperrliste vor.
An dieser Stelle soll uns jedoch nur das Enrollment interessieren.
SCEP ist ein Protokoll für die Kommunikation zwischen einer CA oder RA
und einem Stück Hardware. Es wird vor allem für das Enrollment von Routern,
VPN-Komponenten, Switches und ähnlichen Geräten verwendet. Wie der Name
andeutet, handelt es sich um ein recht einfaches Protokoll, das wenig Flexibilität
bietet. Zur Erklärung von SCEP wollen wir annehmen, dass eine CA ein Zertifi-
kat für einen Router ausstellen will. Kämen etwa eine RA und ein Switch zum
Einsatz, wäre der Ablauf derselbe.
Voraussetzung für ein SCEP-Enrollment ist, dass der Router das CA-Zertifi-
kat kennt. Falls notwendig, kann er dieses über eine SCEP-Protokollnachricht
anfordern, wobei der Administrator zusätzlich einen Hashwert des Zertifikats
überprüfen sollte. Optional kann der Administrator des Routers mit der CA ein
Passwort vereinbaren. SCEP kennt zwei Enrollment-Modi. Der einfachere heißt
Automatic Mode
und hat folgenden Ablauf:
1.
Der Router generiert ein Schlüsselpaar und schickt eine Nachricht (
PKCS-
Req
) an den Server. Diese Nachricht enthält einen PKCS#10-Zertifizierungs-
antrag sowie optional ein Passwort.
2.
Die CA überprüft den Antrag und generiert im positiven Fall ein Zertifikat.
Falls kein Passwort zur Authentifizierung des Antrags verwendet wird, muss
die CA auf anderem Weg sicherstellen, dass Angreifer Mallory sich kein Zer-
tifikat erschleichen kann (dies kann etwa durch die persönliche Anwesenheit
des Administrators erfolgen). Das neu generierte Zertifikat schickt die CA
verschlüsselt und signiert im PKCS#7-Format an den Router zurück (
CertRep
).
Im zweiten Modus (
Manual Mode
) sendet die CA das Zertifikat nicht notwendi-
gerweise in der zweiten Nachricht zurück, sondern schickt (gegebenenfalls mehr-
fach) eine Meldung, die besagt, dass die Generierung noch nicht abgeschlossen
ist.
Wie Sie sehen, ist ein SCEP-Enrollment wirklich sehr simpel. Es erfüllt jedoch
seinen Zweck und ermöglicht es Administratoren, ohne großen Aufwand ein
Enrollment für eine Hardwarekomponente durchzuführen. Mit SCEP hat sich
einmal mehr eine pragmatische Lösung durchgesetzt.
