Die Bereitstellung und Verwaltung der Zertifikate wird von einem SCEP-Server vorgenommen, der neben der Funktion einer üblichen Certification Authority (CA) um die SCEP-Funktionalität erweitert ist. Dieser Server kann z. B. als Windows Server CA mit einem speziellen Plug-In (der mscep.dll) realisiert werden. Es existieren daneben eine Vielzahl von CA-Lösungen die SCEP beherrschen, so beispielsweise die OpenSource-Lösung OpenCA (www.openca.org).
Die SCEP-Erweiterung, also z. B. die mscep.dll, bildet eine zusätzliche Instanz auf dem Server, welche die Anfragen der SCEP-Clients bearbeitet und an die eigentliche CA weiterreicht. Diese Instanz wird als Registration Authority (RA) bezeichnet.
Als SCEP-Clients treten die VPN-Router auf, die vom zentralen Server die benötigten Zertifikate automatisiert abrufen wollen. Für den SCEP-Vorgang werden i.d.R. auch die von der CA signierten Zertifikate der RA (Registration Authority) benötigt. Für den eigentlichen VPN-Betrieb benötigen die VPN-Router dabei vor allem gültige Systemzertifikate (Gerätezertifikate). Die anderen ggf. genutzten Zertifikate werden nur für den SCEP-Vorgang benötigt.
