SCEP【Simple Certificate Enrollment Protocol】
SCEPとは?
デジタル証明書は、通信相手の正当性確認やデータ暗号化に使われる電子的な身分証明書である。これを発行する機関を「認証局」(CA)と呼び、企業内ネットワークでは大量の機器に証明書を配布する必要がある。管理者が一台ずつ手作業で対応するのは現実的ではなく、SCEPはこの配布作業を自動化するためのプロトコルである。
動作の流れとしては、まず端末が秘密鍵と公開鍵のペアを生成し、自身の情報と公開鍵を含む証明書署名要求(CSR)を作成してCAへ送信する。CAは内容を検証し、承認されれば署名済みの証明書を返送する。通信にはHTTPを採用し、データ形式にはPKCS#10を用いることで、異なるメーカーの機器間でも証明書のやり取りが可能になっている。申請時の認証には事前に共有したパスワードを使い、不正な端末からの登録を抑制する。
主な用途は、企業がスマートフォンやタブレット端末を一括管理するMDM(モバイルデバイス管理)環境や、ルータ、Wi-Fiアクセスポイントなどのネットワーク機器が自律的に証明書を取得する場面である。Wi-FiやVPN接続に必要な証明書を多数の端末へ一括配布する際に活用され、管理者の運用負荷を大幅に削減できる。
一方、設計が古いことによるセキュリティ上の制約も指摘されている。パスワードが漏洩すると不正な証明書が発行されるリスクがあるほか、証明書の失効確認機能も限定的である。高度な認証制御や厳格なポリシー管理が求められる環境では、「EST」(Enrolment over Secure Transport)や「CMP」(Certificate Management Protocol)といった新しいプロトコルが選ばれることもある。ただし、実装の容易さと既存機器との互換性の広さから、現在も多くの組織で使われ続けている。
共有ボタンをタップ