Zertifikatsenrollment über SCEP

Zur Sicherung der Kommunikation über öffentlich zugängliche Netzwerke werden immer mehr zertifikatsbasierte VPN-Verbindungen eingesetzt. Dem hohen Sicherheitsanspruch der digitalen Zertifikate steht dabei ein deutlicher Mehraufwand für die Verwaltung und Verteilung der Zertifikate gegenüber. Dieser Aufwand entsteht dabei überwiegend in den Filialen oder Home-Offices einer verteilten Netzwerkstruktur.

Zum Aufbau einer zertifikatsbasierten VPN- Verbindung von einer Außenstelle zum Netzwerk einer Zentrale benötigt ein VPN-Router die folgenden Komponenten:

Anmerkung: Der SCEP-Client unterstützt ein Zertifikat pro Verwendungszweck (VPN, WLAN-Controller). Bei den CAs kann neben dem konkreten Verwendungszweck auch die Einstellung 'Allgemein' gewählt werden. Wenn eine allgemeine CA eingetragen wird, wird diese CA für alle Zertifikate verwendet.

Beim herkömmlichen Aufbau einer VPN-Struktur mit Zertifikaten müssen die Schlüssel und Zertifikate manuell in die einzelnen Geräte geladen werden und rechtzeitig vor Ablauf getauscht werden. Das Simple Certificate Enrollment Protocol (SCEP) erlaubt die sichere und automatisierte Verteilung von Zertifikaten über einen entsprechenden Server und reduziert so den Aufwand für den Roll-Out und die Pflege von zertifikatsbasierten Netzwerkstrukturen. Dabei wird u.a. das Schlüsselpaar für das Gerät nicht in einer externen Anwendung erstellt und später in das Gerät übertragen, sondern das Schlüsselpaar wird direkt im VPN-Router selbst erzeugt – der private Teil des Schlüssels muss also niemals das Gerät verlassen, was einen deutlichen Sicherheitsgewinn darstellt. Sowohl das Root-Zertifikat der CA als auch das eigene Geräte-Zertifikat kann ein VPN-Router über SCEP automatisiert von einer zentralen Stelle abrufen.