简单认证登记协议概述-Cisco.PDFVIP

简单认证登记协议概述 目录 简介 背景信息 CA认证 请求 答复 客户注册 请求 答复 客户端重新登记 续订 反转 构建模块 PKCS-7 署名的信封(SignedData) 被包围的数据(EnvelopedData) PKCS-10 相关信息 附录 SCEP请求 Request信息格式 概要视图 SCEP答复 响应消息格式 内容类型 pkiMessage结构 SCEP OIDs SCEP pkiMessage SCEP messageType SCEP pkiStatus 简介 本文描述简单认证登记协议(SCEP)，是用于登记和其他公共密钥基础设施(PKI)操作的协议。 背景信息 SCEP由思科在互联网工程任务组(IETF)草稿最初开发和描述。 其主要特性是： 根据HTTP的请求/响应型号(GET方法;POST方法的可选技术支持) 仅支持RSA根据加密算法 使用PKCS-10作为证书请求格式 使用PKCS-7为了转达密码签字/加密的消息 由服务器支持异步授权，有正常?的由请求方 限制了证书撤销列表(CRL)检索支持(首选方法是通过控制分配点(CDP)查询，可扩展性原因的) 不支持联机认证吊销(必须是执行的脱机通过其它方法) 要求使用在证书签名请求(CSR)内的一Challenge Password字段 ，必须仅共享在服务器和请求 方之间 SCEP登记和使用情况通常跟随此工作流程： 1. 得到Certificate Authority (CA)证书的复制并且验证它。 2. 生成CSR并且安全地发送它对CA。 3. 轮询SCEP服务器为了证实证书是否签了字。 4. 如所需要重新登记为了在当前证书的有效期之前获取新证书。 5. 如所需要获取CRL。 CA认证 SCEP使用CA证书为了获取CSR的消息交换。结果，得到CA证书的复制是必要的。使用 GetCACert操作。 请求 请求发送作为HTTP GET请求。请求的一数据包捕获看起来类似于此： GET /cgi-bin/pkiclient.exe?operation=GetCACert 答复 答复是二进制编码的CA证书(X.509)。客户端需要验证CA证书通过指纹/哈希的考试委托。这必须通 过指纹的带外方法(对系统管理员的一部电话或预配置在信任点内的执行)。 客户注册 请求 注册请求发送作为HTTP GET请求。 请求的一数据包捕获看起来类似于此： /cgi-bin/pkiclient.exe?operation=PKIOperationmessage= MIIHCgYJKoZIhvcNAQcCoIIG%2BzCCBvcCAQExDjAsnip 1. 文本，在“message=”是URL编码的字符串后，从GET请求字符串解压缩。 2. 文本是然后URL解码到ASCII文本字符串。该文本字符串是Base64-encoded SignedData PKCS-7。 3. SignedData PKCS-7由有这些证书之一的客户端签字;用于证明，客户端发送它，并且在运送 中未被修改： 自签名证书(使用在最初的登记)制造商预装证书(MIC)很快超时的一个当前证明(重新登记) 4. SignedData PKCS-7的“签名数据”部分是EnvelopedData PKCS-7。 5. EnvelopedData PKCS-7是包含“已加密数据”的容器和“解密密钥”。解密密钥用收件人的公共密 钥加密。对这个特殊情况，收件人是CA;结果。仅CA能实际上解密“已加密数据”。 6. 被包围的PKCS-7的“已加密数据”部分是CSR (PKCS-10)。 答复 对SCEP注册请求的答复是三个类型之一： 拒绝-请求由任何数量的原因的管理员拒绝，例如： 无效密钥大小无效私钥保护密码CA不能验证请求请求为CA没有授权的属性询问请求由CA不委 托的标识签字 等待- CA管理员未查看请求。 成功-请求接受，并且签名证书包括。签名证书在保持呼叫的PKCS-7内特殊类型是一个特殊容 器能保持一个或更多X.509或Crl，但是不包含一签字的或已加密数据有效负载的“退化仅使用证 书的PKCS#7,。 客户端重新登记 在证书到期之前，客户端需要获得新证书。有在续订和反转之间的一个轻微的性能上的区别。续订 发生，当客户端的ID证书接近有效期，并且其有效期不是相同的(