¿Qué es SCEP (Protocolo simple de inscripción de certificados)?

¿Qué es SCEP (protocolo simple de inscripción de certificados)?

SCEP son las siglas de Simple Certificate Enrollment Protocol (Protocolo simple de inscripción de certificados) y es un protocolo de gestión de certificados que ayuda a los administradores de TI a emitir certificados automáticamente. La emisión de certificados de infraestructura de clave pública (PKI) requiere un proceso de intercambio de información con una autoridad de certificación (CA) de confianza, como Sectigo, para que la CA pueda autenticar que un usuario de certificado representa legítimamente las identidades y los nombres de dominio asociados con el certificado PKI antes de que se complete la emisión. SCEP estandariza ese intercambio con la CA utilizando una URL y un secreto compartido, haciendo que sea más rápido y fácil para los equipos de TI inscribir certificados en dispositivos que comunicar esta información manualmente.

El protocolo SCEP existe desde hace mucho tiempo y ha ido ganando adeptos entre las empresas. Como el protocolo SCEP no tiene costes de licencia y requiere muy poco tiempo de configuración y ejecución por parte de los equipos informáticos, se ha convertido en un componente casi omnipresente de la seguridad empresarial.

¿Para qué casos de uso se utiliza más?

SCEP se aplica habitualmente a varios casos de uso de certificados. En particular, los sistemas de gestión de dispositivos móviles (MDM) como Microsoft Intune y Apple MDM utilizan SCEP para la inscripción de certificados PKI en el creciente número de dispositivos móviles y teléfonos inteligentes utilizados por los empleados de las empresas. Esto permite a los dispositivos móviles autenticar conexiones entre aplicaciones y sistemas y recursos empresariales. La mayoría de los equipos de red, incluidos enrutadores, equilibradores de carga, concentradores Wi-Fi, dispositivos VPN y cortafuegos, también admiten el protocolo SCEP para la inscripción de certificados.

SCEP automatiza la inscripción de certificados PKI para dispositivos móviles y teléfonos inteligentes a través de sistemas de gestión de dispositivos móviles (MDM) para conexiones seguras a VPN, WI-Fi y aplicaciones empresariales.

Este protocolo es compatible con los sistemas operativos de servidores y dispositivos más comunes, incluyendo Microsoft Windows, Linux y Apple iOS y MacOS, así como sistemas de directorio como Active Directory. Puede aprovechar el servidor SCEP de Sectigo para gestionar sus certificados en todos los casos de uso de dispositivos y entornos de SO y directorio que pueda utilizar en su organización.

¿Por qué usar SCEP?

Si bien la infraestructura de clave pública ofrece la solución criptográfica y de autenticación más sólida y sencilla para la identidad digital, la complejidad y escala de la implementación de certificados para la mayoría de las empresas puede ser un desafío para los ocupados equipos de TI. La implantación y gestión manual de certificados requiere mucho tiempo y es propensa a errores. El proceso completo de emisión, configuración y despliegue de certificados puede llevar hasta varias horas, tanto si una empresa está desplegando un único certificado para un router Wi-Fi como si está gestionando millones de certificados en todos los dispositivos en red e identidades de usuario que admite. Como resultado, las empresas se exponen a un riesgo innecesario de interrupciones repentinas o fallos de los sistemas críticos de negocio, así como a infracciones y ataques de intermediario (Man-in-the-Middle, MITM).

Además, la gestión manual de certificados expone a las empresas a un riesgo significativo, ya que aumenta la probabilidad de que los certificados puedan olvidarse hasta que caduquen o se produzcan lagunas en la propiedad. Con los numerosos riesgos potenciales inherentes a la gestión manual de certificados PKI, las empresas necesitan el estándar de inscripción automatizada de certificados que proporciona el Protocolo simple de inscripción de certificados para garantizar que los certificados se emitan y configuren correctamente en una gran cantidad de dispositivos sin intervención humana. Esta automatización ayuda a reducir el riesgo y permite a los departamentos de TI controlar los costes operativos.

¿Cómo funciona el protocolo SCEP?

El proceso de inscripción SCEP estandariza el intercambio de información con la autoridad de certificación necesario para autenticar la solicitud de certificado y emitirlo. Los elementos clave de este proceso son

• URL SCEP: La URL indica dónde se comunican los dispositivos con la CA para inscribir el certificado del cliente. Esta URL puede colocarse en un MDM para automatizar la inscripción de certificados en dispositivos móviles a escala.
  
• Secreto compartido SCEP: un secreto compartido es una contraseña confidencial que distingue entre mayúsculas y minúsculas intercambiada entre el servidor SCEP y la CA utilizada para autenticar que un usuario representa legítimamente las identidades y los nombres de dominio asociados con el certificado PKI.
  
• Solicitud de firma de certificado SCEP: Una vez establecida la conexión entre el servidor SCEP y la CA y autenticado el Secreto Compartido, se puede enviar a la CA la Solicitud de Firma de Certificado (CSR), o solicitud SCEP. Esta CSR incluye el perfil de configuración que permite a los dispositivos gestionados inscribirse automáticamente para obtener certificados.
  
• Perfil de configuración de certificados SCEP: Las plataformas de gestión de certificados y los MDM suelen tener un conjunto específico de parámetros de configuración que se utilizan para definir el perfil de certificado, incluido el período de validez del certificado, el tamaño de la clave, el nombre de configuración SCEP, el tipo y valor del nombre alternativo del sujeto, el número de reintentos fallidos y el intervalo de reintentos, y el tipo y valor de la contraseña de desafío adicional.
  
• Certificado de firma SCEP: Para garantizar que se utilizan certificados válidos, la mayoría de los MDM requieren un certificado de firma que ha sido firmado por la CA para ser utilizado también por los dispositivos. Este certificado de firma encapsula toda la cadena de certificados, incluido el certificado de firma, la CA intermedia y la CA raíz.
  

Pasos del proceso de inscripción en SCEP

A continuación se indican los pasos del proceso de inscripción en SCEP para establecer la inscripción automática en certificados para una plataforma de gestión de certificados o MDM típica:

1. Añadir la URL SCEP
   
2. Añadir el secreto compartido SCEP
   
3. Cargar el certificado de firma SCEP
   
4. Definir la configuración SCEP que se envía a los dispositivos
   
5. Definir cualquier configuración de certificado específica de la aplicación (por ejemplo, para Wi-Fi o VPN)
   
6. Especificar qué dispositivos reciben certificados
   

A continuación, una vez autenticado por la CA, se implementará un certificado de CA firmado en el dispositivo.

Perfil de configuración de certificados SCEP

Al configurar un servidor SCEP, hay una serie de propiedades de certificado que el administrador puede establecer en el perfil de configuración de certificados para personalizar la implementación de SCEP. Entre ellas se incluyen las siguientes

• Nombre de plantilla de certificado
  
• Tipo de certificado (si se implementará en un dispositivo o en un usuario final)
  
• Formato del nombre del asunto (cómo crea el servidor el nombre del asunto de la solicitud de certificado, por ejemplo utilizando una dirección de correo electrónico en el caso de un usuario o un nombre de servidor o dirección IP en el caso de un dispositivo)
  
• Periodo de validez del certificado (especificación del tiempo necesario antes de la expiración o revocación del certificado)
  
• Algoritmo hash
  
• Certificado de CA raíz
  
• Uso de claves. El uso de claves puede incluir el cifrado de claves (que permite el intercambio de claves cuando una clave está cifrada) o la firma digital (que permite el intercambio cuando la clave está protegida por una firma digital).

¿Cómo soporta Sectigo este protocolo?

Sectigo reconoce la complejidad y escala de la mayoría de las necesidades de certificados de las empresas. Las empresas confían en los certificados PKI para autenticar y cifrar todo, desde servidores web tanto en la nube como en las instalaciones, dispositivos en red, dispositivos móviles, identidades de usuario, sistemas de correo electrónico, dispositivos de red, dispositivos IoT, entornos DevOps, firmas digitales y más. Como Sectigo ofrece certificados de dispositivos que soportan SCEP además de certificados SSL/TLS, Code Signing, S/MIME y otros certificados X.509 que protegen sistemas críticos de negocio, las empresas también necesitan una forma de automatizar la gestión del ciclo de vida de los certificados de extremo a extremo a escala. Sectigo Certificate Manager soporta el protocolo SCEP para ofrecer una gestión automatizada del ciclo de vida de los certificados.

Cómo configurar en Sectigo Certificate Manager

Sectigo Certificate Manager (SCM) proporciona una interfaz de gestión de panel único que integra perfectamente arquitecturas de dispositivos empresariales como Microsoft Intune y Apple MDM, acelerando y simplificando el descubrimiento, emisión, despliegue y renovación de todos los certificados. Sectigo Certificate Manager permite emitir certificados de dispositivo utilizando SCEP mediante la creación de perfiles de configuración que se envían a los dispositivos de destino. El perfil de configuración se puede crear utilizando software como la utilidad de configuración de Apple iOS.

Para emitir certificados de dispositivo a través de SCEP, debe crear nuevos perfiles de certificado de dispositivo y habilitarlos para la inscripción SCEP. A cada perfil de certificado de dispositivo se le asigna un ID de perfil de dispositivo para identificarlo cuando se aplique a los dispositivos.

El proceso debe cumplir estos requisitos previos para tener éxito:

• Su cuenta Sectigo debe tener al menos un perfil de certificado configurado para su uso con certificados de dispositivo.
  
• La inscripción SCEP debe estar habilitada para una organización o departamento, y se debe especificar un código de acceso. Esto se puede hacer al añadir o editar una organización o departamento.

Cómo emitir certificados a través de Sectigo Certificate Manager mediante SCEP (protocolo simple de inscripción de certificados)

Normalmente, el proceso consiste en lo siguiente

• Se genera un perfil de configuración para la inscripción OTA mediante el software de configuración y, a continuación, se aplica el perfil a los dispositivos de destino. El código de acceso de inscripción SCEP especificado para la organización o el departamento se incluye en el perfil. Esto significa que la solicitud de certificado generada por el dispositivo contiene el mismo código de acceso que el parámetro challengePassword.
  
• Una vez aplicado, el dispositivo genera la solicitud de certificado y la envía a Sectigo Certificate Manager.
  
• Las solicitudes de certificado se añaden al área Certificados del dispositivo para su aprobación. El estado del certificado se indica como Solicitado.
  
• Un RAO o DRAO con los privilegios adecuados aprueba la solicitud y, a continuación, SCM la reenvía a Sectigo. El estado del certificado cambia a Solicitado. Tras la emisión del certificado, SCM recoge los certificados. El estado del certificado cambia a Emitido.
  
• El servidor SCEP envía los certificados a los dispositivos de destino para su instalación.
  

Para obtener una guía completa sobre la configuración de SCEP mediante Sectigo Certificate Manager, vaya a Sectigo Knowledge Base y consulte las Sectigo Certificate Manager Administration Guides (Guías de administración de Sectigo Certificate Manager).

Para obtener detalles sobre los valores de los parámetros que deben especificarse en el perfil de configuración, póngase en contacto con nosotros.