Certificate SCEP中的质询密码

简单证书注册协议（SCEP）中质询密码的目的是什么

我的理解是，它用于验证设备

---

我的问题是：它与使用公钥和私钥对进行的身份验证有何不同？

如果证书被泄露（私钥被盗等），则 证书需要被撤销，因为它将保持有效，直到其到期 任期

任何有权访问证书的管理员都可以吊销证书。如果遇到挑战 在证书签名请求期间指定了密码，该密码无效 在证书可撤销之前，将需要

因此，挑战密码的唯一目的似乎是防止

---

由没有密码的人撤销。

如果证书被泄露（私钥被盗等），则 证书需要被撤销，因为它将保持有效，直到其到期 任期

任何有权访问证书的管理员都可以吊销证书。如果遇到挑战 在证书签名请求期间指定了密码，该密码无效 在证书可撤销之前，将需要

因此，挑战密码的唯一目的似乎是防止 由没有密码的人撤销。

在注册过程中（/可能）使用质询密码。如（第2.3节）所述：

PKCS#10[RFC2986]指定PKCS#9[RFC2985]挑战密码 属性作为注册请求的一部分发送。包括 SCEP客户端的challengePassword是可选的，允许 未经验证的注册请求授权。PKCS#7 [RFC2315]信封保护质询密码的隐私

当使用challengePassword时，服务器会分发共享密码 对将唯一关联注册的请求者保密 向请求者请求。秘密的传播必须是公开的 私有：只有最终实体才应该知道这个秘密。实际的 请求者和秘密之间的绑定机制受到限制 服务器策略和实现

草案第2.5节规定：

challengePassword可用于自动授权 请求

SCEP草案第2.8节规定：

SCEP未指定请求证书吊销的方法

但在注册过程中使用质询密码时：

为了撤销证书，请求者必须联系CA 服务器操作员使用非SCEP定义的机制。虽然 PKCS#10[RFC2986]challengePassword由SCEP用于注册 授权（参见注册授权（第2.3节））这并不 不禁止CA服务器维护 challengePassword在后续撤销操作中用作 由[RFC2985]暗示

在注册过程中（/可能）使用质询密码。如（第2.3节）所述：

PKCS#10[RFC2986]指定PKCS#9[RFC2985]挑战密码 属性作为注册请求的一部分发送。包括 SCEP客户端的challengePassword是可选的，允许 未经验证的注册请求授权。PKCS#7 [RFC2315]信封保护质询密码的隐私

当使用challengePassword时，服务器会分发共享密码 对将唯一关联注册的请求者保密 向请求者请求。秘密的传播必须是公开的 私有：只有最终实体才应该知道这个秘密。实际的 请求者和秘密之间的绑定机制受到限制 服务器策略和实现

草案第2.5节规定：

challengePassword可用于自动授权 请求

SCEP草案第2.8节规定：

SCEP未指定请求证书吊销的方法

但在注册过程中使用质询密码时：

为了撤销证书，请求者必须联系CA 服务器操作员使用非SCEP定义的机制。虽然 PKCS#10[RFC2986]challengePassword由SCEP用于注册 授权（参见注册授权（第2.3节））这并不 不禁止CA服务器维护 challengePassword在后续撤销操作中用作 由[RFC2985]暗示

---

SCEP用于向设备（主要在不受信任的网络中）颁发证书。管理员将生成质询密码并通过邮件发送给用户。SCEP服务器知道此质询密码。（我们可以要求SCEP服务器生成质询密码，并将其提供给管理员，由管理员与相应人员共享）。当设备请求SCEP服务器使用此质询密码获取证书时，SCEP服务器可以验证质询密码并颁发证书

实际上，设备发出第一个请求以获取服务器的CA证书。它验证CA证书。然后设备在本地生成私钥和公钥，例如，iOS MDM代理就是这样做的。然后，使用质询密码将CSR（证书签名请求）发送到SCEP服务器。SCEP服务器验证质询密码，现在用私钥对设备的公钥进行签名。结果就是证书

参考：

---

SCEP用于向设备（主要在不受信任的网络中）颁发证书。管理员将生成质询密码并通过邮件发送给用户。SCEP服务器知道此质询密码。（我们可以要求SCEP服务器生成质询密码，并将其提供给管理员，由管理员与相应人员共享）。当设备请求SCEP服务器使用此质询密码获取证书时，SCEP服务器可以验证质询密码并颁发证书

实际上，设备发出第一个请求以获取服务器的CA证书。它验证CA证书。然后设备生成private和publ