{"id":295,"date":"2026-03-04T10:09:54","date_gmt":"2026-03-04T09:09:54","guid":{"rendered":"https:\/\/iobseu-xejul.wordpress.com\/?p=295"},"modified":"2026-03-04T10:09:54","modified_gmt":"2026-03-04T09:09:54","slug":"das-simple-certificate-enrollment-protocol-scep-ein-vollstandiger-und-detaillierter-leitfaden-zum-prozess-und-protokoll","status":"publish","type":"post","link":"https:\/\/technodidact.de\/en\/das-simple-certificate-enrollment-protocol-scep-ein-vollstandiger-und-detaillierter-leitfaden-zum-prozess-und-protokoll\/","title":{"rendered":"Das Simple Certificate Enrollment Protocol (SCEP): Ein vollst\u00e4ndiger und detaillierter Leitfaden zum Prozess und Protokoll"},"content":{"rendered":"<p class=\"wp-block-paragraph\">Das&nbsp;<strong>Simple Certificate Enrollment Protocol (SCEP)<\/strong>&nbsp;ist ein weit verbreiteter, standardisierter Mechanismus zur automatisierten&nbsp;<strong>Registrierung, Ausstellung und Erneuerung<\/strong>&nbsp;digitaler X.509-Zertifikate in Public-Key-Infrastrukturen (PKI). Es adressiert das grundlegende Problem der Skalierbarkeit bei der manuellen Zertifikatsverwaltung f\u00fcr eine gro\u00dfe Anzahl von Ger\u00e4ten, wie sie in modernen Unternehmensnetzwerken, beim Mobile Device Management (MDM) oder im Internet of Things (IoT) vorkommen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dieser Artikel bietet eine&nbsp;<strong>pr\u00e4zise und vollst\u00e4ndige<\/strong>&nbsp;Darstellung des SCEP-Protokolls, seiner Komponenten, Nachrichtenfl\u00fcsse, Sicherheitsaspekte und seines praktischen Einsatzes.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">1. Historische Entwicklung und Standardisierung<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">SCEP wurde urspr\u00fcnglich in den sp\u00e4ten 1990er Jahren von Cisco Systems entwickelt, um eine einfache Methode zur Bereitstellung von Zertifikaten f\u00fcr Netzwerkger\u00e4te (z.B. Router) zu schaffen. Seine&nbsp;<strong>Pragmatik und einfache Implementierung<\/strong>&nbsp;f\u00fchrten zu einer raschen, hersteller\u00fcbergreifenden Verbreitung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der formale Standardisierungsweg f\u00fchrte von einem&nbsp;<strong>Internet-Draft<\/strong>&nbsp;zur endg\u00fcltigen Ver\u00f6ffentlichung als&nbsp;<strong>Informational RFC<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>RFC 8894<\/strong>: &#8222;Simple Certificate Enrollment Protocol&#8220; (September 2020). Dieser RFC ersetzt den vorherigen\u00a0<strong>RFC 8894<\/strong>\u00a0und ist der aktuelle Standard. Er aktualisiert das Protokoll, um moderne kryptografische Algorithmen (insbesondere Elliptic Curve Cryptography &#8211; ECC) und sicherere Betriebsmodi besser zu unterst\u00fctzen.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">2. Protokollziele und Grundprinzipien<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die prim\u00e4ren Ziele von SCEP sind:<\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li><strong>Automatisierung<\/strong>: Minimierung manueller Eingriffe bei der Zertifikatsausstellung.<\/li>\n\n\n\n<li><strong>Skalierbarkeit<\/strong>: Bew\u00e4ltigung von Tausenden von Zertifikatsanforderungen.<\/li>\n\n\n\n<li><strong>Interoperabilit\u00e4t<\/strong>: Gew\u00e4hrleistung der Kompatibilit\u00e4t zwischen Ger\u00e4ten verschiedener Hersteller.<\/li>\n\n\n\n<li><strong>Robustheit<\/strong>: Umgang mit verlorengegangenen Nachrichten und vor\u00fcbergehenden Netzwerkausf\u00e4llen.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Ein zentrales Prinzip ist die Verwendung eines&nbsp;<strong>pre-shared secret<\/strong>&nbsp;(gemeinsames Geheimnis), das als vorl\u00e4ufige Authentifizierungsmethode dient, bis ein Zertifikat ausgestellt ist.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">3. Zentrale Komponenten der SCEP-Architektur<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">Komponente<\/th><th class=\"has-text-align-left\" data-align=\"left\">Beschreibung und Rolle<\/th><\/tr><\/thead><tbody><tr><td><strong>SCEP-Client<\/strong><\/td><td>Das anfragende Ger\u00e4t (End-Entity). Erzeugt den privaten\/\u00f6ffentlichen Schl\u00fcssel, erstellt die PKCS#10-Zertifikatsanforderung (CSR) und f\u00fchrt den SCEP-Nachrichtenaustausch durch. Implementierungen finden sich in Betriebssystemen, MDM-Clients und Netzwerkger\u00e4te-Firmwares.<\/td><\/tr><tr><td><strong>SCEP-Server \/ RA (Registration Authority)<\/strong><\/td><td>Die Vermittlungsinstanz. Empf\u00e4ngt, validiert und leitet Client-Anfragen an die CA weiter. Er fungiert oft als Proxy und entlastet die CA. Pr\u00fcft das &#8222;shared secret&#8220; und kann zus\u00e4tzliche Richtlinien durchsetzen.<\/td><\/tr><tr><td><strong>CA (Certification Authority)<\/strong><\/td><td>Die vertrauensw\u00fcrdige Ausstellungsinstanz. Erh\u00e4lt validierte Anfragen vom SCEP-Server, signiert den CSR und erzeugt das finale X.509-End-Entity-Zertifikat. Die private CA ist die vertrauensw\u00fcrdige Wurzel (oder Intermediate CA).<\/td><\/tr><tr><td><strong>Repository<\/strong><\/td><td>Ein optionaler, \u00f6ffentlich zug\u00e4nglicher Server (oft HTTP), von dem Clients CA- und RA-Zertifikate sowie Certificate Revocation Lists (CRLs) abrufen k\u00f6nnen.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">4. Detaillierter SCEP-Nachrichtenfluss und Prozess<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der SCEP-Protokollaustausch besteht aus einer festgelegten Abfolge von Nachrichten, die \u00fcber HTTP(S) transportiert werden. Der folgende Ablauf stellt den vollst\u00e4ndigen, erfolgreichen Fall dar (operational phase).<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/iobseu-xejul.wordpress.com\/wp-content\/uploads\/2026\/02\/scep2.png?w=1024\" alt=\"\" class=\"wp-image-298\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt-f\u00fcr-Schritt-Erkl\u00e4rung der Phasen und Nachrichten:<\/strong><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Phase 1: CA-Zertifikate abrufen (GetCA)<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Client-\u2192Server<\/strong>:\u00a0<code>GetCA<\/code>\u00a0oder\u00a0<code>GetCACaps<\/code>\u00a0Nachricht.<\/li>\n\n\n\n<li><strong>Server-\u2192Client<\/strong>: Sendet das\u00a0<strong>CA-Zertifikat<\/strong>\u00a0(und optional das\u00a0<strong>RA-Zertifikat<\/strong>) im PKCS#7-Format (<code>degenerate certificates-only<\/code>).<\/li>\n\n\n\n<li><strong>Client-Aktion<\/strong>: Der Client installiert und validiert dieses(s) Zertifikat(e). Er extrahiert daraus den \u00f6ffentlichen Schl\u00fcssel, der zur sp\u00e4teren Verschl\u00fcsselung von Nachrichten an den RA\/CA verwendet wird.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Phase 2: Zertifikatsanforderung (PKCSReq \/ RenewalReq)<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Client-Vorbereitung<\/strong>:\n<ol start=\"1\" class=\"wp-block-list\">\n<li>Generiert ein kryptografisches Schl\u00fcsselpaar (RSA oder ECC).<\/li>\n\n\n\n<li>Erstellt eine\u00a0<strong>PKCS#10 Certificate Signing Request (CSR)<\/strong>, die den \u00f6ffentlichen Schl\u00fcssel, den Distinguished Name (DN) und gew\u00fcnschte Attribute enth\u00e4lt.<\/li>\n<\/ol>\n<\/li>\n\n\n\n<li><strong>Client-\u2192Server<\/strong>:\u00a0<code>PKCSReq<\/code>\u00a0Nachricht.\n<ul class=\"wp-block-list\">\n<li>Der CSR wird mit dem \u00f6ffentlichen Schl\u00fcssel des\u00a0<strong>RA<\/strong>\u00a0(falls vorhanden) oder der\u00a0<strong>CA<\/strong>\u00a0verschl\u00fcsselt (<code>envelopedData<\/code>).<\/li>\n\n\n\n<li>Die gesamte Nachricht wird mit dem \u00f6ffentlichen Schl\u00fcssel des\u00a0<em>Empf\u00e4ngers<\/em>\u00a0(RA\/CA) verschl\u00fcsselt.<\/li>\n\n\n\n<li>Ein\u00a0<strong>Transaction ID<\/strong>\u00a0(SHA-1-Hash des \u00f6ffentlichen Schl\u00fcssels) und ein\u00a0<strong>Message Digest<\/strong>\u00a0(SHA-1 \u00fcber die Nachricht) werden mitgesendet.<\/li>\n\n\n\n<li><strong>Achtung (RFC 8894 Update)<\/strong>: F\u00fcr\u00a0<code>PKCSReq<\/code>\u00a0wird die Verschl\u00fcsselung nun als\u00a0<strong>MUST<\/strong>\u00a0und Signatur als\u00a0<strong>SHOULD<\/strong>\u00a0spezifiziert, w\u00e4hrend in RFC 8894 beides optional war. Signatur wird f\u00fcr\u00a0<code>RenewalReq<\/code>\u00a0zwingend ben\u00f6tigt.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Phase 3: Genehmigung und Ausstellung<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Server\/RA-Aktion<\/strong>:\n<ol start=\"1\" class=\"wp-block-list\">\n<li>Entschl\u00fcsselt die Nachricht mit seinem privaten Schl\u00fcssel.<\/li>\n\n\n\n<li>Pr\u00fcft das\u00a0<strong>pre-shared secret<\/strong>\u00a0(sofern konfiguriert).<\/li>\n\n\n\n<li>Validierungen (Richtlinien, DN-Format, etc.).<\/li>\n\n\n\n<li>Die Anfrage kann automatisch genehmigt oder zur manuellen Freigabe in eine Warteschlange gestellt werden.<\/li>\n<\/ol>\n<\/li>\n\n\n\n<li><strong>CA-Aktion<\/strong>: Erh\u00e4lt den validierten CSR, signiert ihn und erstellt das finale X.509v3-Zertifikat.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Phase 4: Polling und Abholung (GetCert\/GetCRL)<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Da die Ausstellung nicht immer sofort erfolgt, muss der Client nachfragen.<\/li>\n\n\n\n<li><strong>Client-\u2192Server<\/strong>: Sendet eine\u00a0<code>GetCertInitial<\/code>\u00a0oder\u00a0<code>GetCert<\/code>\u00a0Nachricht mit der bekannten\u00a0<strong>Transaction ID<\/strong>.<\/li>\n\n\n\n<li><strong>Server-\u2192Client<\/strong>: Antwortet entweder mit:\n<ul class=\"wp-block-list\">\n<li><strong>Status &#8222;PENDING&#8220;<\/strong>: Zertifikat noch nicht fertig. Client muss nach einer Wartezeit erneut pollen.<\/li>\n\n\n\n<li><strong>Das ausgestellte Zertifikat<\/strong>\u00a0(wieder in einem PKCS#7-Container): Dieses wird vom Client entschl\u00fcsselt und im entsprechenden Zertifikatsspeicher installiert.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Phase 5: Erneuerung und Widerruf<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Erneuerung<\/strong>: Ein Client mit einem bestehenden, g\u00fcltigen Zertifikat kann ein neues anfordern (<code>RenewalReq<\/code>). Dies erfordert eine Signatur mit dem bestehenden Zertifikat.<\/li>\n\n\n\n<li><strong>Widerruf<\/strong>: SCEP unterst\u00fctzt den Widerruf \u00fcber eine\u00a0<code>GetCRL<\/code>\u00a0Nachricht, mit der Clients die aktuelle Certificate Revocation List abrufen k\u00f6nnen.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">5. Sicherheitsanalyse und Protokollschw\u00e4chen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">SCEPs Sicherheit basiert auf einer Mischung aus kryptografischen Operationen und dem&nbsp;<strong>pre-shared secret<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\"><strong>Sicherheitsmechanismus<\/strong><\/th><th class=\"has-text-align-left\" data-align=\"left\"><strong>Implementierung in SCEP<\/strong><\/th><th class=\"has-text-align-left\" data-align=\"left\"><strong>Schw\u00e4chen\/Risiken<\/strong><\/th><\/tr><\/thead><tbody><tr><td><strong>Vertraulichkeit<\/strong><\/td><td>Verschl\u00fcsselung mit \u00f6ffentlichen Schl\u00fcsseln von RA\/CA (z.B. RSA-OAEP).<\/td><td>\u00c4ltere Implementierungen nutzten m\u00f6glicherweise schwache Algorithmen (RC4, RSA-PKCS#1 v1.5).&nbsp;<strong>RFC 8894<\/strong>&nbsp;schreibt starke Algorithmen vor.<\/td><\/tr><tr><td><strong>Integrit\u00e4t &amp; Authentizit\u00e4t<\/strong><\/td><td>Message Digest und digitale Signaturen (f\u00fcr Renewal). Das&nbsp;<strong>pre-shared secret<\/strong>&nbsp;authentifiziert die initiale Anfrage.<\/td><td>Das&nbsp;<strong>pre-shared secret<\/strong>&nbsp;ist oft statisch und muss sicher verteilt werden. Ein kompromittiertes Secret gef\u00e4hrdet die gesamte Bereitstellung. Es bietet keine gegenseitige Authentifizierung.<\/td><\/tr><tr><td><strong>Replay-Schutz<\/strong><\/td><td>Durch die einzigartige&nbsp;<strong>Transaction ID<\/strong>.<\/td><td>Ausreichend f\u00fcr den Protokollkontext.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Kritische Schw\u00e4chen (vor RFC 8894):<\/strong><\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li><strong>Statisches Shared Secret<\/strong>: Die gr\u00f6\u00dfte Schwachstelle. Anf\u00e4llig f\u00fcr Man-in-the-Middle-Angriffe, wenn das Secret abgefangen wird.<\/li>\n\n\n\n<li><strong>Schwache kryptografische Flexibilit\u00e4t<\/strong>: Urspr\u00fcnglich auf RSA-1024\/2048 und SHA-1 fixiert.\u00a0<strong>RFC 8894<\/strong>\u00a0behebt dies durch verbindliche Unterst\u00fctzung f\u00fcr ECC und SHA-2.<\/li>\n\n\n\n<li><strong>Keine Server-Authentifizierung in Phase 1<\/strong>: Der Client vertraut dem ersten gesendeten CA-Zertifikat blind, sofern er es nicht \u00fcber einen Out-of-Band-Kanal verifiziert.<\/li>\n<\/ol>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">6. Praktische Anwendung und Kontext<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">SCEP ist ein Kernelement in vielen Bereichen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Mobile Device Management (MDM)<\/strong>: Microsoft Intune, VMware Workspace ONE, Jamf Pro und andere nutzen SCEP (oft \u00fcber einen &#8222;SCEP-Connector&#8220;), um Ger\u00e4ten automatisiert Zertifikate f\u00fcr WLAN (802.1X), VPN (IKEv2, IPsec) und E-Mail-Verschl\u00fcsselung bereitzustellen.<\/li>\n\n\n\n<li><strong>Netzwerkinfrastruktur<\/strong>: Automatisierte Bereitstellung von Zertifikaten f\u00fcr Router, Switches und Firewalls f\u00fcr Management-Interfaces (HTTPS, SSH) oder IPsec-VPNs.<\/li>\n\n\n\n<li><strong>IoT-Ger\u00e4te<\/strong>: Zur initialen Identit\u00e4tsetablierung von Ger\u00e4ten in einer Fabrik oder beim ersten Einschalten.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Konfigurationsparameter (Auszug)<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>SCEP-URL<\/strong>: z.B.,\u00a0<code>http:\/\/pki.example.org\/cgi-bin\/pkiclient.exe<\/code><\/li>\n\n\n\n<li><strong>Challenge Password<\/strong>: Das pre-shared secret.<\/li>\n\n\n\n<li><strong>Subject Name \/ Subject Alternative Names (SAN)<\/strong>: Definieren die Identit\u00e4t im Zertifikat.<\/li>\n\n\n\n<li><strong>Key Usage \/ Extended Key Usage<\/strong>: Legen den Verwendungszweck fest (z.B., Client Authentication, Code Signing).<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">7. Modernere Alternativen zu SCEP<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Aufgrund der genannten Schw\u00e4chen wurden neuere Protokolle entwickelt:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>ACME (Automatic Certificate Management Environment, RFC 8555)<\/strong>: Das von Let&#8217;s Encrypt popul\u00e4r gemachte Protokoll. Nutzt challenge-basierte Domain-Validierung (HTTP-01, DNS-01) anstelle von Shared Secrets. Wird zunehmend f\u00fcr Ger\u00e4tezertifikate empfohlen (z.B. von Apple f\u00fcr moderne MDM-Szenarien).<\/li>\n\n\n\n<li><strong>EST (Enrollment over Secure Transport, RFC 7030)<\/strong>: Ein auf TLS basierendes Protokoll, das SCEP modernisieren soll. Es verwendet standardm\u00e4\u00dfig gegenseitige TLS-Authentifizierung und macht das Shared Secret optional. Bietet bessere Algorithmenflexibilit\u00e4t.<\/li>\n\n\n\n<li><strong>CMP (Certificate Management Protocol, RFC 4210)<\/strong>: Ein sehr m\u00e4chtiges und komplexes Protokoll f\u00fcr alle Aspekte des Zertifikatslebenszyklus, oft in hochsicheren\/regulierten Umgebungen eingesetzt.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">8. Quellenverzeichnis<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Informationen in diesem Artikel basieren auf den offiziellen Standards, technischer Dokumentation und etabliertem Fachwissen:<\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li><strong>IETF RFC 8894<\/strong>: Liu, D., Kampanakis, P., &amp; Andreasen, M. (2020).\u00a0<em>Simple Certificate Enrollment Protocol<\/em>. Internet Engineering Task Force.\u00a0<strong>Dies ist die prim\u00e4re und ma\u00dfgebliche Quelle f\u00fcr das aktuelle Protokoll.<\/strong>\u00a0Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/datatracker.ietf.org\/doc\/html\/rfc8894\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/datatracker.ietf.org\/doc\/html\/rfc8894<\/a><\/li>\n\n\n\n<li><strong>IETF RFC 8894<\/strong>: Lopez, R., et al. (2014).\u00a0<em>Simple Certificate Enrollment Protocol<\/em>. Internet Engineering Task Force. (Vorg\u00e4ngerversion, jetzt veraltet). Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/datatracker.ietf.org\/doc\/html\/rfc8894\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/datatracker.ietf.org\/doc\/html\/rfc8894<\/a><\/li>\n\n\n\n<li><strong>Microsoft Dokumentation<\/strong>:\u00a0<em>Configure and manage SCEP certificates with Intune<\/em>. (Technische Beschreibung der praktischen Integration in ein f\u00fchrendes MDM-System). Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/learn.microsoft.com\/en-us\/mem\/intune\/protect\/certificates-scep-configure\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/learn.microsoft.com\/en-us\/mem\/intune\/protect\/certificates-scep-configure<\/a><\/li>\n\n\n\n<li><strong>Jamf Pro Dokumentation<\/strong>:\u00a0<em>Using SCEP with Jamf Pro<\/em>. (Praxiseinblick in die Nutzung mit einem Apple-zentrierten MDM). Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/learn.jamf.com\/bundle\/jamf-pro-documentation-current\/page\/Using_SCEP_with_Jamf_Pro.html\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/learn.jamf.com\/bundle\/jamf-pro-documentation-current\/page\/Using_SCEP_with_Jamf_Pro.html<\/a><\/li>\n\n\n\n<li><strong>Cisco Dokumentation<\/strong>:\u00a0<em>Understanding SCEP<\/em>. (Historische Perspektive des urspr\u00fcnglichen Entwicklers). Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/www.cisco.com\/c\/en\/us\/td\/docs\/security\/vpn_client\/anyconnect\/anyconnect40\/administration\/guide\/b_AnyConnect_Administrative_Guide_4-0\/anyconnect-cert-enroll.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.cisco.com\/c\/en\/us\/td\/docs\/security\/vpn_client\/anyconnect\/anyconnect40\/administration\/guide\/b_AnyConnect_Administrative_Guide_4-0\/anyconnect-cert-enroll.pdf<\/a><\/li>\n\n\n\n<li><strong>NIST Special Publication 800-157<\/strong>:\u00a0<em>Guidelines for Derived Personal Identity Verification (PIV) Credentials<\/em>. (Erw\u00e4hnung von SCEP in einem sicherheitskritischen, beh\u00f6rdlichen Kontext). Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/nvlpubs.nist.gov\/nistpubs\/SpecialPublications\/NIST.SP.800-157.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/nvlpubs.nist.gov\/nistpubs\/SpecialPublications\/NIST.SP.800-157.pdf<\/a><\/li>\n<\/ol>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Zusammenfassung<\/strong>: SCEP bleibt aufgrund seiner weiten Verbreitung und Einfachheit ein wichtiges Protokoll zur automatisierten Zertifikatsbereitstellung, insbesondere in legacy- und MDM-Umgebungen. W\u00e4hrend&nbsp;<strong>RFC 8894<\/strong>&nbsp;wichtige kryptografische Schw\u00e4chen adressiert, leiden die Sicherheit und das Betriebsmodell weiterhin unter der Abh\u00e4ngigkeit von einem statischen &#8222;shared secret&#8220;. F\u00fcr neue Implementierungen sollten daher, wenn m\u00f6glich, modernere Alternativen wie&nbsp;<strong>ACME<\/strong>&nbsp;oder&nbsp;<strong>EST<\/strong>&nbsp;in Betracht gezogen werden. Das Verst\u00e4ndnis des detaillierten SCEP-Ablaufs ist jedoch nach wie vor essenziell f\u00fcr den Betrieb und die Absicherung bestehender PKI-Infrastrukturen.<\/p>","protected":false},"excerpt":{"rendered":"<p>Das&nbsp;Simple Certificate Enrollment Protocol (SCEP)&nbsp;ist ein weit verbreiteter, standardisierter Mechanismus zur automatisierten&nbsp;Registrierung, Ausstellung und Erneuerung&nbsp;digitaler X.509-Zertifikate in Public-Key-Infrastrukturen (PKI). Es adressiert das grundlegende Problem der Skalierbarkeit bei der manuellen Zertifikatsverwaltung f\u00fcr eine gro\u00dfe Anzahl von Ger\u00e4ten, wie sie in modernen Unternehmensnetzwerken, beim Mobile Device Management (MDM) oder im Internet of Things (IoT) vorkommen. Dieser Artikel [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":296,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,20,33,35],"tags":[],"class_list":["post-295","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aus-dem-bauch-heraus","category-industrie-4-0-sensorik","category-technik-praxis","category-technisch"],"_links":{"self":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/295","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/comments?post=295"}],"version-history":[{"count":0,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/295\/revisions"}],"wp:attachment":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/media?parent=295"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/categories?post=295"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/tags?post=295"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}