Im Überblick verläuft die Verteilung von Zertifikaten über SCEP nach folgendem Schema ab:
- Schlüsselpaar im VPN-Router erzeugen. Im VPN-Router wird ein Schlüsselpaar erzeugt. Der öffentliche Teil dieses Schlüsselpaares wird später zusammen mit der Anfrage an den SCEP-Server übermittelt. Der private Teil des Schlüsselpaares verbleibt im SCEP-Client (VPN-Router). Die Tatsache, dass der private Schlüssel das Gerät zu keiner Zeit verlassen muss, stellt einen Sicherheitsgewinn gegenüber der manuellen Zertifikatsverteilung über z. B. PKCS#12-Container dar.
- CA- und RA-Zertifikate abrufen. Zur Kommunikation mit der RA/CA müssen im VPN-Router die entsprechenden RA- und CA-Zertifikate vorhanden sein. Bei einem Abruf des CA-Zertifikates über SCEP kann mit dem im Vorfeld konfigurierten Fingerprint automatisch geprüft werden, ob die abgerufenen Zertifikate auch tatsächlich von der gewünschten CA stammen. SCEP bietet selbst keinen Mechanismus zur automatischen Authentifizierung der CA-Zertifikate auf Seiten des SCEP-Clients. Wenn der Administrator der VPN-Router nicht selbst Zugriff auf die CA hat, muss er den Fingerprint z. B. per Telefon mit dem CA-Admin überprüfen.
- Request für ein Geräte-Zertifikat erstellen und verschlüsseln. Für die Beantragung eines System- bzw. Gerätezertifikats stellt der SCEP-Client die konfigurierten Informationen zusammen, u. a. die Identität des anfragenden Gerätes (Requester) und ggf. die "Challenge Phrase", das Kennwort für die automatische Bearbeitung der Anfrage auf dem SCEP-Server. Diese Anfrage wird mit dem privaten Teil des Schlüsselpaares signiert.
- Request an den SCEP-Server übermitteln. Anschließend übermittelt der SCEP-Client die Anfrage mitsamt seinem öffentlichen Schlüssel an den SCEP-Server.
- Prüfen der Zertifikatsanfrage auf dem SCEP-Server und Ausstellen des Geräte-Zertifikats. Der SCEP-Server kann die erhaltene
Anfrage entschlüsseln und daraufhin ein System- bzw. Gerätezertifikat für den Requester ausstellen. SCEP unterscheidet dabei
folgende Methoden für die Bearbeitung der Anfragen:
- Bei der automatischen Bearbeitung muss die Authentizität des Requesters über die Challenge Phrase sichergestellt sein. Die Challenge Phrase wird z. B. auf einem Windows CA-Server mit mscep.dll automatisch erzeugt und ist für eine Stunde gültig. Stimmt die Challenge Phrase in der Zertifikatsanfrage mit dem aktuell gültigen Wert auf dem Server überein, kann das Systemzertifikat automatisch ausgestellt werden.
- Im manuellen Fall stellt der SCEP-Server die Zertifikatsanfrage in einen Wartezustand, bis die Bewilligung oder Ablehnung des CA-Administrators feststeht. Während dieser Wartezeit prüft der SCEP-Client regelmäßig ab, ob inzwischen beim SCEP-Server das angeforderte Systemzertifikat ausgestellt wurde.
- Bei RA-AutoApprove wird der Client über ein gültiges von der CA ausgestelltes Zertifikat authentifiziert.
- Geräte-Zertifikat vom SCEP-Server abrufen Sobald das Zertifikat ausgestellt ist, stellt der Client durch regelmäßiges Polling fest, dass er das Zertifikat abrufen kann.
- Geräte-Zertifikat prüfen und für VPN-Betrieb bereitstellen