CMP协议与SCEP协议简介

CMP（Certificate Management Protocol） ——证书管理协议	SCEP（Simple Certificate Enrollment Protocol) ——简单证书登记协议
l  通常用于第三方设备或第三方服务从PKI体系中获得标准的数字证书； l  该协议使用CRFM(证书请求消息格式)作为编码格式来封装请求和响应； l  通常在HTTP协议上传输； l  定义了证书产生和管理相关的各方面所需要的消息，同时解决了消息传递的通信安全问题； l  可作为 PKI运营机构、PKI 组件开发者的参考指南。	l  通常用于第三方设备在PKI体系中进行证书注册； l  该协议使用PKCS#10（证书请求语法标准）和PKCS#7（密码消息语法标准）来封装请求和响应； l  通常在HTTP协议上传输； l  由CISCO设计用于给网络设备申请证书； l  它的出现提升了数字证书签发的可扩展性； l  它使任何标准的网络设备都能够通过协议简单的申请自己的数字证书成为可能。

CMP协议与SCEP协议能做什么

CMP协议	SCEP协议
l  PKI体系中，各实体间的通讯协议；  如LRA连接RA注册证书、RA连接CA申请证书； l  第三方服务与PKI体系间的通讯协议； 如第三方应用系统连接RA注册证书、第三方应用系统连接CA申请证书； l  第三方设备与PKI体系间的通讯协议； 如第三方设备连接RA注册证书、第三方设备连接CA申请证书； l  它是一个完整的证书管理协议，支持的证书管理功能如下：   申请证书   注销证书   更新证书   恢复证书（密钥）	l  第三方设备与PKI体系间的通讯协议；   如第三方设备连接RA注册证书、第三方设备连接CA申请证书； l  相对于CMP，SCEP有如下优点：   支持CRL下载   支持CA证书下载   支持服务端异步授权，客户端定期轮询 l  相对于CMP，SCEP不是一个完整的证书管理协议，支持的证书管理功能如下：   CA证书下载   证书注册   证书查询   CRL下载

CMP与SCEP协议在身份认证系统中的应用

吉大正元身份认证系统是用于数字证书的申请、审核、签发、注销、更新、查询的综合管理系统，由证书注册管理系统（RA）、证书签发管理系统（CA）、密钥管理系统（KM）、证书状态查询系统（OCSP）组成，下面为大家介绍CMP与SCEP协议在身份认证系统中的应用。

1、CMP协议

CMP协议是公钥基础设施(PKI)的重要组成部分，作为一种通用的、标准的PKI的证书管理协议，它定义了与证书产生和管理相关的各方面所需要的协议信息。

基于CMP协议，公钥基础设施中的四类实体CA、RA、终端实体、证书/CRL库之间可以做到标准化的无障碍通信，并且不损失安全性。从而可实现对四类实体的高度自由、高度灵活的实施和管理，即便这四类实体分别属于不同厂商，通过标准CMP协议都可进行无缝对接。

CMP协议适用于在安全或非安全环境中实施PKI组件并进行管理，可作为PKI运营机构、PKI组件开发者的参考指南。

PKI体系内部以及PKI体系与PKI体系外部的服务和设备之间均可使用CMP协议，使用场景如图1所示。

图1 CMP使用场景图

在电子政务外网项目中，RA使用CMP协议与其他厂商CA进行对接，实现了证书的全生命周期管理，使得吉大正元身份认证系统具备了良好的系统兼容能力。

2、SCEP协议

SCEP协议是公钥基础设施(PKI)的重要组成部分，作为一种通用的、标准的PKI的网络设备证书管理的通讯协议，它规定了设备证书管理所需的协议信息。

基于SCEP协议，公钥基础设施中的终端实体可获得安全、可靠的网络设备证书在线注册与下载服务，目前是网络设备部署PKI的唯一可行的选择。

SCEP协议适用于公钥密码技术体系下网络设备所需的证书自动注册和下载。可用于指导为设备提供证书自动注册和下载的证书认证机构的设计、建设及检测。

PKI体系与PKI体系外部的第三方设备之间可使用SCEP协议,使用场景如图2所示。

图2 SCEP使用场景图

在某石油项目中，吉大正元通过该协议为手持加油设备签发设备证书，实现了设备证书的自动注册与下载。在车联网项目中使用SCEP协议为TBox-车载智能终端设备签发设备证书并实现证书的自动注册与下载，这些项目案例的成功实施，顺利交付，是对吉大正元技术、服务工作的认可。作为安全行业的龙头企业，吉大正元将继续发挥企业优势，将CMP协议和SCEP协议的优势价值运用到更多商业领域，为客户的信息安全提供强有力的安全保障，助力实现国家网络空间安全。