Kryptographische Härtung der SCEP-Transaktionen für den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)

Das Simple Certificate Enrollment Protocol (SCEP) ist ein uraltes Protokoll aus den frühen 2000ern. Es kommt ohne Transport Layer Security (TLS) aus. Daher werden die Protokollnachrichten auf Transportebene verschlüsselt.

Beim Senden der Zertifikatanforderung an den NDES-Server wird der Client den Zertifikatantrag mit dem CEP-Encryption Zertifikat des NDES-Servers (wurde ihm über die GetCACert Nachricht zuvor kommuniziert) vornehmen.

Beim Empfangen des ausgestellten Zertifikats wird der NDES-Server die Antwort mit einem temporär vom SCEP-Client erstellten selbstsignierten Zertifikat verschlüsseln.

In beiden Fällen kommt ein symmetrischer Verschlüsselungsalgorithmus zum Einsatz.

„Kryptographische Härtung der SCEP-Transaktionen für den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)“ weiterlesen

Automatische Veröffentlichung von Zertifikatsperrlisten nach einem Zertifikat-Widerruf

Oft bekomme ich mit, dass PKI-Betreiber gerne wünschen, dass für widerrufene Zertifikate umgehend eine neue Zertifikatsperrliste ausgestellt werden soll.

Nachfolgend möchte ich einige Überlegungen dazu loswerden, warum dieses Vorgehen nicht optimal ist und einen eleganteren Lösungsvorschlag machen.

„Automatische Veröffentlichung von Zertifikatsperrlisten nach einem Zertifikat-Widerruf“ weiterlesen

Was ist der Unterschied zwischen "Beantragen" und "Erneuern" eines Zertifikates im Windows-Ökosystem

Möchte man auf einem Windows-Client über die Microsoft Management-Konsole (MMC) Zertifikate beantragen oder erneuern, hat man mehrere Optionen, welche zwar alle ans Ziel führen, hierbei aber ein unterschiedliches Verhalten zeigen. Nachfolgend wollen wir auf die Unterschiede eingehen.

„Was ist der Unterschied zwischen "Beantragen" und "Erneuern" eines Zertifikates im Windows-Ökosystem“ weiterlesen
de_DEDeutsch