Startseite
Zurück zur Übersicht

Simple Certificate Enrollment Protocol (SCEP)

Das Simple Certificate Enrollment Protocol (SCEP) ist ein Netzwerkprotokoll, das die automatisierte Ausstellung und Verteilung digitaler Zertifikate an Endgeräte ermöglicht. Anstatt Zertifikate manuell auf jedem Gerät einzeln einzurichten, kommuniziert ein MDM-System über SCEP mit einer Zertifizierungsstelle (Certificate Authority) und verteilt die Zertifikate automatisch an alle verwalteten Geräte. SCEP wurde ursprünglich in den frühen 2000er Jahren entwickelt und ist heute ein etablierter Standard im Unternehmensumfeld.

Der technische Kern von SCEP ist die automatisierte Kommunikation zwischen Gerät, MDM-System und Zertifizierungsstelle. Das Gerät stellt eine Zertifikatsanfrage, die über einen SCEP-Server an die Zertifizierungsstelle weitergeleitet wird. Nach erfolgreicher Prüfung wird das signierte Zertifikat automatisch auf dem Gerät hinterlegt. Für die Authentifizierung wird eine SCEP-URL zusammen mit einem gemeinsamen Geheimnis verwendet, das die Kommunikation zwischen den Beteiligten absichert.

Besonders relevant wird SCEP überall dort, wo Zertifikate auf einer großen Anzahl von Geräten verwaltet werden müssen. Ein Unternehmen mit mehreren Hundert Mitarbeiterendgeräte, die sich über WLAN oder VPN in das Firmennetzwerk einwählen, kann SCEP nutzen, um Zertifikate zentral auszustellen, zu erneuern und bei Bedarf zu widerrufen, ohne dass IT-Administratoren an jedem Gerät manuell tätig werden müssen. Auch Behörden, die zertifikatsbasierte Authentifizierung für den Netzzugang voraussetzen, setzen auf SCEP zur skalierbaren Verwaltung.

Der entscheidende Vorteil von SCEP liegt in der Skalierbarkeit der Zertifikatsverwaltung. Ohne automatisiertes Protokoll müssten Zertifikate manuell ausgestellt, installiert und vor Ablauf erneuert werden, was bei größeren Geräteflotten schnell zu Lücken im Sicherheitskonzept führt. SCEP stellt sicher, dass Zertifikate rechtzeitig erneuert werden und kein Gerät mit abgelaufenem Zertifikat im Netz verbleibt.

Eine zuverlässige RADIUS-Infrastruktur setzt voraus, dass die sich einbuchenden Geräte bekannt, verwaltet und regelkonform konfiguriert sind. Beides lässt sich in einem datenschutzkonformen Betriebsmodell sinnvoll zusammenführen.