تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند بروتوكول تسجيل الشهادة البسيط (SCEP)، وهو بروتوكول يستخدم للتسجيل وعمليات البنية الأساسية للمفتاح العام (PKI) الأخرى.
تم تطوير بروتوكول SCEP في الأصل بواسطة Cisco، ويتم توثيقه في مسودة مشروع فرقة عمل هندسة الإنترنت (IETF).
وخصائصه الرئيسية هي:
يتبع تسجيل SCEP واستخدامه بشكل عام تدفق العمل هذا:
يستخدم SCEP شهادة CA لتأمين تبادل الرسائل ل CSR. ونتيجة لذلك، من الضروري الحصول على نسخة من شهادة المرجع المصدق. يتم إستخدام عملية GetCACert.
يتم إرسال الطلب كطلب HTTP GET. يبدو التقاط حزمة للطلب مماثلا لهذا:
GET /cgi-bin/pkiclient.exe?operation=GetCACert
الاستجابة هي ببساطة شهادة CA المرمزة ثنائيا (X.509). يحتاج العميل إلى التحقق من أن شهادة CA موثوق بها من خلال فحص بصمة الإصبع/التجزئة. ويجب أن يتم ذلك من خلال طريقة خارج النطاق (مكالمة هاتفية لمسؤول النظام أو تهيئة مسبقة لبصمة الإصبع ضمن TrustPoint).
تم إرسال طلب التسجيل كطلب HTTP GET. يبدو التقاط حزمة للطلب مماثلا لهذا:
/cgi-bin/pkiclient.exe?operation=PKIOperation&message=
MIIHCgYJKoZIhvcNAQcCoIIG%2BzCCBvcCAQExDjA......<snip>
تعد الاستجابة لطلب تسجيل SCEP أحد الأنواع الثلاثة التالية:
قبل انتهاء صلاحية الشهادة، يحتاج العميل إلى الحصول على شهادة جديدة. هناك فارق سلوكي طفيف بين التجديد وإعادة التوجيه. يحدث التجديد عندما تقترب شهادة معرف العميل من انتهاء الصلاحية، ويكون تاريخ انتهاء الصلاحية غير مماثل (أقدم من) لتاريخ انتهاء صلاحية شهادة المرجع المصدق. يحدث التبديل عندما تقترب شهادة المعرف من الانتهاء، ويكون تاريخ انتهاء صلاحيتها هو نفس تاريخ انتهاء صلاحية شهادة CA.
مع اقتراب تاريخ انتهاء صلاحية شهادة المعرف، قد يرغب عميل SCEP في الحصول على شهادة جديدة. يقوم العميل بإنشاء CSR ويمر بعملية التسجيل (كما هو محدد مسبقا). يتم إستخدام الشهادة الحالية لتوقيع SignedData PKCS#7، والتي تثبت بدورها الهوية إلى CA. عند إستلام الشهادة الجديدة، يقوم العميل فورا بحذف الشهادة الحالية ويستبدلها بالشهادة الجديدة التي تبدأ صلاحيتها فورا.
التمرير هو حالة خاصة تنتهي فيها صلاحية شهادة CA ويتم إنشاء شهادة CA جديدة. يقوم المرجع المصدق بإنشاء شهادة مرجع مصدق جديدة تصبح صالحة بمجرد انتهاء صلاحية شهادة المرجع المصدق الحالية. عادة ما يقوم المرجع المصدق بإنشاء شهادة "Shadow CA" هذه في بعض الوقت قبل وقت إعادة التوجيه، لأنها مطلوبة لإنشاء شهادات "Shadow ID" للعملاء.
عندما تقترب شهادة معرف عميل SCEP من الانتهاء، يستعلم عميل SCEP عن المرجع المصدق لشهادة "Shadow CA". ويتم القيام بذلك باستخدام عملية GetNextCACert كما هو موضح هنا:
GET /cgi-bin/pkiclient.exe?operation=GetNextCACert
بمجرد حصول عميل SCEP على شهادة "Shadow CA"، فإنه يطلب شهادة "Shadow ID" بعد إجراء التسجيل العادي. يوقع المرجع المصدق شهادة "معرف الظل" بشهادة "مرجع الظل". بخلاف طلب التجديد العادي، تصبح الشهادة "معرف الظل" التي يتم إرجاعها صالحة في وقت انتهاء صلاحية شهادة CA (إعادة توجيه). ونتيجة لذلك، يحتاج العميل إلى الاحتفاظ بنسخة من شهادات ما قبل النقل وما بعده لكل من شهادة المرجع المصدق وشهادة المعرف. في وقت انتهاء صلاحية CA (إعادة توجيه)، يحذف عميل SCEP شهادة CA وشهادة المعرف الحالية ويستبدلهما بنسخ "الظل".
يتم إستخدام هذا الهيكل ككتل إنشاء SCEP.
ملاحظة: PKCS#7 و PKCS#10 ليست خاصة ب SCEP.
PKCS#7 هو تنسيق بيانات معرف يسمح بتوقيع البيانات أو تشفيرها. يتضمن تنسيق البيانات البيانات الأصلية وبيانات التعريف المقترنة الضرورية لتنفيذ عملية التشفير.
المظروف الموقع هو تنسيق يحمل البيانات ويؤكد أن البيانات المغلفة لا يتم تغييرها أثناء النقل عبر التوقيعات الرقمية. وتتضمن هذه المعلومات:
SignedData ::= SEQUENCE {
version CMSVersion,
digestAlgorithms DigestAlgorithmIdentifiers,
encapContentInfo EncapsulatedContentInfo,
certificates [0] IMPLICIT CertificateSet OPTIONAL,
crls [1] IMPLICIT RevocationInfoChoices OPTIONAL,
signerInfos SignerInfos }
البيانات المضمنة غير مشفرة أو مبهمة. يوفر هذا التنسيق ببساطة الحماية ضد الرسالة التي يتم تغييرها.
يحمل تنسيق البيانات المغلف بيانات مشفرة ولا يمكن فك تشفيرها إلا بواسطة المستلم (المستلمين) المحدد. وتتضمن هذه المعلومات:
EnvelopedData ::= SEQUENCE {
version CMSVersion,
originatorInfo [0] IMPLICIT OriginatorInfo OPTIONAL,
recipientInfos RecipientInfos,
encryptedContentInfo EncryptedContentInfo,
unprotectedAttrs [1] IMPLICIT UnprotectedAttributes OPTIONAL }
يصف PKCS#10 تنسيق CSR. تحتوي CSR على المعلومات التي يطلبها العملاء لتضمين شهاداتهم:
فيما يلي مثال على CSR:
Certificate Request:
Data:
Version: 0 (0x0)
Subject: CN=scepclient
Subject Public Key Info:
Public Key Algorithm: rsaEncryption Public-Key: (1024 bit)
Modulus:
00:cd:46:5b:e2:13:f9:bf:14:11:25:6d:ff:2f:43:
64:75:89:77:f6:8a:98:46:97:13:ca:50:83:bb:10:
cf:73:a4:bc:c1:b0:4b:5c:8b:58:25:38:d1:19:00:
a2:35:73:ef:9e:30:72:27:02:b1:64:41:f8:f6:94:
7b:90:c4:04:28:a1:02:c2:20:a2:14:da:b6:42:6f:
e6:cb:bb:33:c4:a3:64:de:4b:3a:7d:4c:a0:d4:e1:
b8:d8:71:cc:c7:59:89:88:43:24:f1:a4:56:66:3f:
10:25:41:69:af:e0:e2:b8:c8:a4:22:89:55:e1:cb:
00:95:31:3f:af:51:3f:53:ad
Exponent: 65537 (0x10001)
Attributes:
challengePassword :
Requested Extensions:
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Subject Alternative Name:
DNS:webserver.example.com
Signature Algorithm: sha1WithRSAEncryption
8c:d6:4c:52:4e:c0:d0:28:ca:cf:dc:c1:67:93:aa:4a:93:d0:
d1:92:d9:66:d0:99:f5:ad:b4:79:a5:da:2d:6a:f0:39:63:8f:
e4:02:b9:bb:39:9d:a0:7a:6e:77:bf:d2:49:22:08:e2:dc:67:
ea:59:45:8f:77:45:60:62:67:64:1d:fe:c7:d6:a0:c3:06:85:
e8:f8:11:54:c5:94:9e:fd:42:69:be:e6:73:40:dc:11:a5:9a:
f5:18:a0:47:33:65:22:d3:45:9f:f0:fd:1d:f4:6f:38:75:c7:
a6:8b:3a:33:07:09:12:f3:f1:af:ba:b7:cf:a6:af:67:cf:47: 60:fc
يتم إرسال الطلبات مع HTTP GET من النموذج :
GET CGI-path/pkiclient.exe?operation=operation&message=message HTTP/version
أين:
باستخدام أسلوب GET، فإن جزء الرسالة إما نص عادي، أو قواعد الترميز المميزة (DER)-المرمزة PKCS#7 المحولة إلى Base64. إذا كان أسلوب POST مدعوما، فقد يتم إرسال المحتوى الذي سيتم إرساله في ترميز Base64 باستخدام GET بتنسيق ثنائي مع POST بدلا من ذلك.
القيم المحتملة للعمليات وقيم الرسائل المقترنة بها:
PKIOpresence
:
يتم إرجاع استجابات SCEP كمحتوى HTTP قياسي، مع نوع المحتوى الذي يعتمد على الطلب الأصلي ونوع البيانات التي تم إرجاعها. يتم إرجاع محتوى DER كثنائي (ليس في Base64 كما هو الحال بالنسبة للطلب). قد يحتوي محتوى PKCS#7 أو قد لا يحتوي على بيانات مشفرة/موقعة مغلفة، إذا لم يحتوي على (يحتوي فقط على مجموعة من الشهادات)، فيشار إليه باسم PKCS#7 منحط.
القيم المحتملة لنوع المحتوى:
التطبيق/x-pki-message:
التطبيق/x-x509-ca-cert:
التطبيق/x-x509-ca-ra-cert:
التطبيق/x-x509-next-ca-cert:
2.16.840.1.113733.1.9.2 scep-messageType
2.16.840.1.113733.1.9.3 scep-pkiStatus
2.16.840.1.113733.1.9.4 scep-failInfo
2.16.840.1.113733.1.9.5 scep-senderNonce
2.16.840.1.113733.1.9.6 scep-recipientNonce
2.16.840.1.113733.1.9.7 scep-transId
2.16.840.1.113733.1.9.8 scep-extensionReq