简单证书注册协议(SCEP)中质询密码的目的是什么?
我的理解是它用于验证设备。
我的问题是:它与使用公钥和私钥对进行的身份验证有何不同?
答案 0 :(得分:2)
在注册过程中使用挑战密码(/可能)。如SCEP specification(第2.3节)中所述:
PKCS#10 [RFC2986]指定PKCS#9 [RFC2985] challengePassword 要作为注册请求的一部分发送的属性。包含 SCEP客户端的challengePassword是可选的并允许 未经身份验证的注册请求授权。 PKCS#7 [RFC2315]信封保护了质询密码的隐私。
使用challengePassword时,服务器会分发共享 请求者的秘密,它将唯一地关联注册 向请求者提出请求。秘密的分配必须是 私人:只有最终实体应该知道这个秘密。实际上 请求者和秘密之间的约束机制受制于 服务器策略和实现。
在第2.5节草案中:
challengePassword可用于自动授权 请求。
SCEP草案第2.8节中的草案:
SCEP未指定请求证书吊销的方法。
但是在注册过程中使用了质询密码时:
要撤消证书,请求者必须联系CA. 服务器操作员使用非SCEP定义的机制。虽然 PKS#10 [RFC2986] challengePassword由SCEP用于注册 授权(参见注册授权(第2.3节))这样做 不禁止CA服务器维护记录 challengePassword在后续撤销操作中使用 [RFC2985]暗示。
答案 1 :(得分:1)
如果证书被盗用(私钥被盗等) 证书需要被撤销,因为它将一直有效,直到它结束 术语
任何有权访问证书的管理员都可以撤销证书。如果是挑战 密码是在证书签名请求期间指定的密码 在证书被撤销之前将被要求。
因此,似乎挑战密码的唯一目的是防止 没有密码的人撤销。
答案 2 :(得分:0)
SCEP用于向设备(主要是在不受信任的网络中)颁发证书。管理员将生成质询密码,并将其通过邮件发送给用户。 SCEP服务器知道此质询密码。 (我们可以要求SCEP Server生成质询密码,并将其提供给他与相应人员共享的管理员)。当设备向SCEP服务器请求具有此质询密码的证书时,SCEP服务器可以验证质询密码并颁发证书。
实际上,设备首先请求获取服务器的CA证书。它验证CA证书。然后,设备会在本地生成私钥和公钥,例如,iOS MDM代理就是这样做的。然后,使用质询密码将CSR(证书签名请求)发送到SCEP服务器。 SCEP服务器会验证质询密码,然后使用其私钥对设备的公钥进行签名。结果就是证书。
参考: