Skip to content

SCEP 证书注册

什么是 SCEP

SCEP(简单证书注册协议)是一种用于自动化证书颁发和管理的标准化协议。它允许设备无需人工干预即可向证书颁发机构(CA)请求、接收和续签数字证书。SCEP 在 RFC 8894 中定义,并广泛支持于移动设备管理平台,包括 Apple 的 MDM 协议。

SCEP 请求的工作流程如下:

  1. 设备在本地生成一对公私钥
  2. 设备向 SCEP 服务器发送证书签名请求(CSR)以及一次性挑战码
  3. SCEP 服务器验证挑战码并签署证书
  4. 设备接收已签名的证书并将其存储在设备钥匙串中
  5. 该证书用于 TLS 客户端认证和身份验证

为什么使用 SCEP

在每台设备上手动安装证书的方式无法扩展到大量设备。SCEP 通过提供以下能力解决了这一问题:

  • 自动化颁发 — 设备在注册流程中自动请求证书,无需管理员生成或分发单个证书
  • 设备身份 — 每台设备获得与其身份绑定的唯一证书,使 MDM 服务器能够在后续签入时对设备进行身份验证
  • 信任链 — 颁发的证书可追溯到受信任的根证书,因此 MDM 服务器和其他企业服务可以通过加密方式验证设备身份
  • 可扩展性 — SCEP 可处理任意规模的设备群,从几十台到数十万台,无需逐台手动操作

没有 SCEP,每台设备都需要手动安装证书——对于拥有超过少量设备的任何组织来说,这都不可行。

GuardMDM 在注册过程中如何使用 SCEP

GuardMDM 将 SCEP 自动集成到注册流程中。当设备注册时:

  1. 发送给设备的 MDM 配置文件包含 SCEP 负载
  2. 设备生成密钥对并向 GuardMDM 的 SCEP 端点发送 CSR
  3. GuardMDM 验证注册挑战码并向内部 CA 请求证书
  4. 已签名的证书返回给设备并存储在其钥匙串中
  5. 设备在后续所有 MDM 命令和签入中使用该证书

该证书作为设备的身份凭证。GuardMDM 向设备发送的每条 MDM 命令,以及设备向 GuardMDM 的每次签入,都使用此证书进行身份验证。它取代了共享密钥或每台设备单独密码的需求。

证书生命周期与续签

通过 SCEP 颁发的证书具有有限的有效期。GuardMDM 处理完整的生命周期:

阶段描述
颁发注册期间创建证书,具有可配置的有效期
有效设备使用证书进行 MDM 身份验证。GuardMDM 监控到期日期。
续签到期前,GuardMDM 触发 SCEP 续签。设备生成新的密钥对并请求新证书。
撤销如果设备被取消注册或标记为丢失,GuardMDM 将撤销其证书,使其无法再进行身份验证。

续签是自动且透明的。当证书接近到期日期时,GuardMDM 启动续签,设备通过相同的 SCEP 流程重新注册。无需用户交互。

SCEP 是自动的

GuardMDM 在注册期间自动配置 SCEP。无需:

  • 设置或管理 SCEP 服务器
  • 手动配置 SCEP URL 或挑战码
  • 向设备分发根证书
  • 跟踪证书到期日期

内置 CA 作为标准注册工作流程的一部分处理颁发、续签和撤销。设备无需管理员或最终用户进行任何手动配置即可获得其身份证书。

对于需要与外部 CA 集成的组织,GuardMDM 通过注册 > SCEP 设置支持自定义 SCEP 配置。然而,在大多数部署中,默认的自动配置已经足够。

基于 MIT 许可证发布