發布時間:2021-03-17
CMP協議與SCEP協議簡介
CMP(Certificate Management Protocol) ——證書管理協議 |
SCEP(Simple Certificate Enrollment Protocol) ——簡單證書登記協議 |
l 通常用于第三方設備或第三方服務從PKI體系中獲得標準的數字證書; l 該協議使用CRFM(證書請求消息格式)作為編碼格式來封裝請求和響應; l 通常在HTTP協議上傳輸; l 定義了證書產生和管理相關的各方面所需要的消息,同時解決了消息傳遞的通信安全問題; l 可作為 PKI運營機構、PKI 組件開發者的參考指南。 |
l 通常用于第三方設備在PKI體系中進行證書注冊; l 該協議使用PKCS#10(證書請求語法標準)和PKCS#7(密碼消息語法標準)來封裝請求和響應; l 通常在HTTP協議上傳輸; l 由CISCO設計用于給網絡設備申請證書; l 它的出現提升了數字證書簽發的可擴展性; l 它使任何標準的網絡設備都能夠通過協議簡單的申請自己的數字證書成為可能。 |
CMP協議與SCEP協議能做什么
CMP協議 |
SCEP協議 |
l PKI體系中,各實體間的通訊協議; 如LRA連接RA注冊證書、RA連接CA申請證書; l 第三方服務與PKI體系間的通訊協議; 如第三方應用系統連接RA注冊證書、第三方應用系統連接CA申請證書; l 第三方設備與PKI體系間的通訊協議; 如第三方設備連接RA注冊證書、第三方設備連接CA申請證書; l 它是一個完整的證書管理協議,支持的證書管理功能如下: 申請證書 注銷證書 更新證書 恢復證書(密鑰) |
l 第三方設備與PKI體系間的通訊協議; 如第三方設備連接RA注冊證書、第三方設備連接CA申請證書; l 相對于CMP,SCEP有如下優點: 支持CRL下載 支持CA證書下載 支持服務端異步授權,客戶端定期輪詢 l 相對于CMP,SCEP不是一個完整的證書管理協議,支持的證書管理功能如下: CA證書下載 證書注冊 證書查詢 CRL下載 |
CMP與SCEP協議在身份認證系統中的應用
吉大正元身份認證系統是用于數字證書的申請、審核、簽發、注銷、更新、查詢的綜合管理系統,由證書注冊管理系統(RA)、證書簽發管理系統(CA)、密鑰管理系統(KM)、證書狀態查詢系統(OCSP)組成,下面為大家介紹CMP與SCEP協議在身份認證系統中的應用。
1、CMP協議
CMP協議是公鑰基礎設施(PKI)的重要組成部分,作為一種通用的、標準的PKI的證書管理協議,它定義了與證書產生和管理相關的各方面所需要的協議信息。
基于CMP協議,公鑰基礎設施中的四類實體CA、RA、終端實體、證書/CRL庫之間可以做到標準化的無障礙通信,并且不損失安全性。從而可實現對四類實體的高度自由、高度靈活的實施和管理,即便這四類實體分別屬于不同廠商,通過標準CMP協議都可進行無縫對接。
CMP協議適用于在安全或非安全環境中實施PKI組件并進行管理,可作為PKI運營機構、PKI組件開發者的參考指南。
PKI體系內部以及PKI體系與PKI體系外部的服務和設備之間均可使用CMP協議,使用場景如圖1所示。
圖1 CMP使用場景圖
在電子政務外網項目中,RA使用CMP協議與其他廠商CA進行對接,實現了證書的全生命周期管理,使得吉大正元身份認證系統具備了良好的系統兼容能力。
2、SCEP協議
SCEP協議是公鑰基礎設施(PKI)的重要組成部分,作為一種通用的、標準的PKI的網絡設備證書管理的通訊協議,它規定了設備證書管理所需的協議信息。
基于SCEP協議,公鑰基礎設施中的終端實體可獲得安全、可靠的網絡設備證書在線注冊與下載服務,目前是網絡設備部署PKI的唯一可行的選擇。
SCEP協議適用于公鑰密碼技術體系下網絡設備所需的證書自動注冊和下載??捎糜谥笇樵O備提供證書自動注冊和下載的證書認證機構的設計、建設及檢測。
PKI體系與PKI體系外部的第三方設備之間可使用SCEP協議,使用場景如圖2所示。
圖2 SCEP使用場景圖
在某石油項目中,吉大正元通過該協議為手持加油設備簽發設備證書,實現了設備證書的自動注冊與下載。在車聯網項目中使用SCEP協議為TBox-車載智能終端設備簽發設備證書并實現證書的自動注冊與下載,這些項目案例的成功實施,順利交付,是對吉大正元技術、服務工作的認可。作為安全行業的龍頭企業,吉大正元將繼續發揮企業優勢,將CMP協議和SCEP協議的優勢價值運用到更多商業領域,為客戶的信息安全提供強有力的安全保障,助力實現國家網絡空間安全。