Zur Sicherung der Kommunikation über öffentlich zugängliche Netzwerke werden immer mehr zertifikatsbasierte VPN-Verbindungen eingesetzt. Dem hohen Sicherheitsanspruch der digitalen Zertifikate steht dabei ein deutlicher Mehraufwand für die Verwaltung und Verteilung der Zertifikate gegenüber. Dieser Aufwand entsteht dabei überwiegend in den Filialen oder Home-Offices einer verteilten Netzwerkstruktur.
Zum Aufbau einer zertifikatsbasierten VPN-Verbindung von einer Außenstelle zum Netzwerk einer Zentrale benötigt ein VPN-Router die folgenden Komponenten:
- Zertifikat der Root-CA mit dem Public Key der CA. In der Zentrale muss ebenfalls ein Zertifikat vorliegen, welches von derselben CA ausgestellt worden ist.
- Eigenes Geräte-Zertifikat mit dem eigenen Public Key. Dieses Zertifikat ist mit dem Private Key der CA signiert und stellt die Bestätigung der Identität dar.
- Eigenen privaten Schlüssel (Private Key).
Beim herkömmlichen Aufbau einer VPN-Struktur mit Zertifikaten müssen die Schlüssel und Zertifikate manuell in die einzelnen Geräte geladen werden und rechtzeitig vor Ablauf getauscht werden. Das Simple Certificate Enrollment Protocol (SCEP) erlaubt die sichere und automatisierte Verteilung von Zertifikaten über einen entsprechenden Server und reduziert so den Aufwand für den Roll-Out und die Pflege von zertifikatsbasierten Netzwerkstrukturen. Dabei wird u. a. das Schlüsselpaar für das Gerät nicht in einer externen Anwendung erstellt und später in das Gerät übertragen, sondern das Schlüsselpaar wird direkt im VPN-Router selbst erzeugt – der private Teil des Schlüssels muss also niemals das Gerät verlassen, was einen deutlichen Sicherheitsgewinn darstellt. Sowohl das Root-Zertifikat der CA als auch das eigene Geräte-Zertifikat kann ein VPN-Router über SCEP automatisiert von einer zentralen Stelle abrufen.
