在SCEP中挑战密码

时间:2014-09-18 06:58:15

标签: certificate x509certificate digital-certificate client-certificates

简单证书注册协议(SCEP)中质询密码的目的是什么?

我的理解是它用于验证设备。

我的问题是:它与使用公钥和私钥对进行的身份验证有何不同?

3 个答案:

答案 0 :(得分:2)

在注册过程中使用挑战密码(/可能)。如SCEP specification(第2.3节)中所述:

  

PKCS#10 [RFC2986]指定PKCS#9 [RFC2985] challengePassword   要作为注册请求的一部分发送的属性。包含   SCEP客户端的challengePassword是可选的并允许   未经身份验证的注册请求授权。 PKCS#7   [RFC2315]信封保护了质询密码的隐私。

     

使用challengePassword时,服务器会分发共享   请求者的秘密,它将唯一地关联注册   向请求者提出请求。秘密的分配必须是   私人:只有最终实体应该知道这个秘密。实际上   请求者和秘密之间的约束机制受制于   服务器策略和实现。

在第2.5节草案中:

  

challengePassword可用于自动授权   请求。

SCEP草案第2.8节中的草案:

  

SCEP未指定请求证书吊销的方法。

但是在注册过程中使用了质询密码时:

  

要撤消证书,请求者必须联系CA.   服务器操作员使用非SCEP定义的机制。虽然   PKS#10 [RFC2986] challengePassword由SCEP用于注册   授权(参见注册授权(第2.3节))这样做   不禁止CA服务器维护记录   challengePassword在后续撤销操作中使用   [RFC2985]暗示。

答案 1 :(得分:1)

如果证书被盗用(私钥被盗等) 证书需要被撤销,因为它将一直有效,直到它结束 术语

任何有权访问证书的管理员都可以撤销证书。如果是挑战 密码是在证书签名请求期间指定的密码 在证书被撤销之前将被要求。

因此,似乎挑战密码的唯一目的是防止 没有密码的人撤销。

答案 2 :(得分:0)

SCEP用于向设备(主要是在不受信任的网络中)颁发证书。管理员将生成质询密码,并将其通过邮件发送给用户。 SCEP服务器知道此质询密码。 (我们可以要求SCEP Server生成质询密码,并将其提供给他与相应人员共享的管理员)。当设备向SCEP服务器请求具有此质询密码的证书时,SCEP服务器可以验证质询密码并颁发证书。

实际上,设备首先请求获取服务器的CA证书。它验证CA证书。然后,设备会在本地生成私钥和公钥,例如,iOS MDM代理就是这样做的。然后,使用质询密码将CSR(证书签名请求)发送到SCEP服务器。 SCEP服务器会验证质询密码,然后使用其私钥对设备的公钥进行签名。结果就是证书。

参考:

https://www.cisco.com/c/en/us/support/docs/security-vpn/public-key-infrastructure-pki/116167-technote-scep-00.html