SCEP 프로토콜 (Simple Certificate Enrollment Protocol) - 2

CA Authentication

SCEP는 CSR에 대한 메시지 교환을 보호하기 위해 CA 인증서를 사용한다. 결과적으로 CA 인증서의 사본을 얻어야 한다.

Request

요청은 다음과 유사한 패킷으로 HTTP GET으로 전송 된다.

GET /cgi-bin/pkiclient.exe?operation=GetCACert

Response

응답은 단순히 이진 인코딩 된 CA 인증서(X.509)

클라이언트는 CA 인증서가 Fingerprint/Hash 검사를 통해 신뢰할 수 있는지 확인해야 함

이 작업은 시스템관리자를 통해서나 Trust Point 내에서 Fingerprint를 미리 구성하여 수행해야 함

Client Enrollment

Request

등록 요청은 다음과 같은 유사한 패킷으로 HTTP GET으로 전송 된다.

/cgi-bin/pkiclient.exe?operation=PKIOperation&message=MIIHCgYJKoZlhvcNA....<snip>

1."message=" 다음의 텍스트는 GET 요청 문자열에서 추출된 URL 인코딩된 문자열 이다.

2. 텍스트는 URL 디코딩되어 ASCII 텍스트 문자열이 된다. 이 텍스트 문자열은 Base64로 인코딩 된 SignedData PKCS # 7 이다.

3. SIgnedData PKCS # 7 은 클라이언트가 이 인증서 중 하나를 사용하여 서명한다. 클라이언트가 전송 했으며 전송 중에 변경되지 

않았음을 증명하는데 사용된다.

4. 자체 서명 인증서 (초기 등록시 사용됨)

5. 제조업체 설치 인증서 (MIC)

6. 곧 만료되는 현재 인증서 (재동록)

7.SIgnedData PKCS # 7 의 "서명된 데이터" 부분은 EnvelopedData PKCS # 7 이다..

8. ENvelopedData PCKS # 7 은 "암호화된 데이터" 및 "암호 해독 키"가 포함 된 컨테이너다.. 암호 해독 키는 수신자의 공개

키로 암호화 된다. 이 경우 수신자는 CA 이다. 그 결과로 CA만 실제로 "암호화된 데이터"를 해독 할 수 있다.

9. Enveloped PKCS # 7  의 "Encrypted Data" 부분은 CSR (PKCS # 10)이다.

Response

거부 - 다음과 같은 여러가지 이유로 관리자가 요청을 거부

1. 키 크기가 잘못 됨

2. 유효하지 않은 챌린지 암호

3. CA가 요청을 확인 할 수 없음

4. CA가 승인하지 않은 속성의 요청

5. CA가 신뢰하지 않는 ID로 요청에 서명

보류 - CA 관리자가 아직 요청을 검토하지 않음

성공 - 요청이 승인되고 서명된 인증서가 포함됨

 - 서명된 인증서는 "Degenerate Certificates Only PKCS # 7" 이라는 특수 유형의 PKCS # 7 내에 보관됨

 - 하나 이상의 X.509 또는 CRL을 보유할 수 있지만 서명 되었거나 암호화된 데이터 페이로드가 포함되지 않은 특수 컨테이너