Inhaltsverzeichnis
Werbung
1. Schlüsselpaar im VPN-Router erzeugen.
Im VPN-Router wird ein Schlüsselpaar erzeugt. Der öffentliche Teil dieses Schlüsselpaares wird später zusammen mit
der Anfrage an den SCEP-Server übermittelt. Der private Teil des Schlüsselpaares verbleibt im SCEP-Client (VPN-Router).
Die Tatsache, dass der private Schlüssel das Gerät zu keiner Zeit verlassen muss, stellt einen Sicherheitsgewinn
gegenüber der manuellen Zertifikatsverteilung über z. B. PKCS#12-Container dar.
2. CA- und RA-Zertifikate abrufen.
Zur Kommunikation mit der RA/CA müssen im VPN-Router die entsprechenden RA- und CA-Zertifikate vorhanden
sein. Bei einem Abruf des CA-Zertifikates über SCEP kann mit dem im Vorfeld konfigurierten Fingerprint automatisch
geprüft werden, ob die abgerufenen Zertifikate auch tatsächlich von der gewünschten CA stammen. SCEP bietet
selbst keinen Mechanismus zur automatischen Authentifizierung der CA-Zertifikate auf Seiten des SCEP-Clients. Wenn
der Administrator der VPN-Router nicht selbst Zugriff auf die CA hat, muss er den Fingerprint z. B. per Telefon mit
dem CA-Admin überprüfen.
3. Request für ein Geräte-Zertifikat erstellen und verschlüsseln.
Für die Beantragung eines System- bzw. Gerätezertifikats stellt der SCEP-Client die konfigurierten Informationen
zusammen, u.a. die Identität des anfragenden Gerätes (Requester) und ggf. die „Challenge Phrase", das Kennwort
für die automatische Bearbeitung der Anfrage auf dem SCEP-Server. Diese Anfrage wird mit dem privaten Teil des
Schlüsselpaares signiert.
4. Request an den SCEP-Server übermitteln.
Anschließend übermittelt der SCEP-Client die Anfrage mitsamt seinem öffentlichen Schlüssel an den SCEP-Server.
Referenzhandbuch
10 Virtual Private Networks - VPN
615
Werbung
Inhaltsverzeichnis
