# Protocole simple d’inscription de certificats (SCEP)

Le protocole simple d’inscription de certificats (SCEP) est une norme de protocole utilisée pour la gestion des certificats. SCEP est principalement utilisé pour l’authentification basée sur les certificats, par laquelle l’accès à des services tels que le Wi-Fi, le VPN et la sécurisation des e-mails par chiffrement est effectué à l’aide de certificats.

Les principaux avantages de l’authentification basée sur les certificats sont :

- Aucune intervention de l’utilisateur, car les utilisateurs sont authentifiés via des certificats.
- Communication réseau sécurisée, car les données sont chiffrées et authentifiées à l’aide de certificats.

Cependant, distribuer manuellement des certificats est une tâche fastidieuse pour les administrateurs informatiques dans les organisations à grande échelle. SCEP aide les administrateurs réseau à installer facilement des certificats sur les appareils. SCEP fournit une méthode simplifiée et évolutive pour la gestion des certificats dans les grandes organisations. La différence entre le certificat et SCEP est que la stratégie SCEP est utilisée pour distribuer des certificats clients aux appareils, tandis que la stratégie de certificat distribue les certificats de l’autorité de certification (CA) aux appareils.

## Prérequis

## Configuration de SCEP dans Endpoint Central

1. Vous pouvez vérifier les détails du Server, tels que le mot de passe de défi d’inscription, à partir de **http://<your-Server>/CertSrv/mscep_admin** et **http://<Your-Server>/crtsrv/mscep/mscep.dll**
2. Accordez l’**autorisation de contrôle total** au compte utilisé pour exécuter NDES pour la clé de registre HKEY_LOCAL_MACHINE\Microsoft\Cryptography\MSCEP. Cette étape est requise uniquement si vous avez installé le **correctif KB959193** de NDES.
3. Si le Server SCEP est inaccessible, essayez d’accéder à l’URL du Server SCEP au format **http://<your-Server>/CertSrv/mscep/mscep.dll** depuis l’appareil. Si l’URL est inaccessible, essayez d’y accéder après vous être connecté à un Wi-Fi local, puis distribuez le profil.

## Description du profil

| Spécification du profil | Description |
|---|---|
| Nom de la configuration SCEP | Nom de configuration défini par l’utilisateur, utilisé pour référencer cette configuration dans d’autres configurations telles que Wi-Fi, VPN, etc. |
| PARAMÈTRES SCEP |  |
| URL du Server | L’URL à spécifier sur l’appareil pour obtenir le certificat. Fournissez l’URL HTTP du Server, si le Server SCEP se trouve au sein du réseau de l’organisation et n’est pas exposé aux réseaux externes. Le certificat est demandé via cette URL. <br>Pour [NDES](http://social.technet.microsoft.com/wiki/contents/articles/9063.network-device-enrollment-service-ndes-in-active-directory-certificate-services-ad-cs.aspx), le format de l’URL du Server est : **http://<your-Server>/CertSrv/mscep/mscep.dll** |
| Sujet | Spécifiez les détails (%username%, %email%, %domainname%, %devicename%) pour mapper les détails correspondants sur l’appareil. |
| Empreinte (valeur de hachage) | La valeur de l’empreinte est utilisée pour vérifier l’identité de l’autorité de certification (CA), si l’URL du Server est spécifiée en HTTPS. Elle est utilisée pour sécuriser la communication entre les appareils et la CA. La valeur de l’empreinte est généralement disponible dans **https:///CertSrv/mscep_admin**. |
| Utilisation de la clé | Spécifiez si la clé doit être utilisée pour la signature numérique, le chiffrement de clé ou les deux. |
| Type de nom alternatif du sujet | **>** Spécifiez les détails alternatifs (nom RFC 822, nom DNS, URI et UPN). <br>**> Nom RFC 822** : Définition formelle d’une adresse e-mail. **Exemple : user_name@domain.com** <br>**> Nom du système de noms de domaine (DNS)** : Fait référence à la nomenclature commune utilisée pour les systèmes, services et/ou autres ressources. **Exemple : Server-name.domain.com** <br>**> Identifiant uniforme de ressource (URI)** : Fait référence au système de nommage utilisé pour identifier une ressource. Contient à la fois des URL et des URN. **Exemple : ftp://domain.com/user.txt** <br>**> Nom principal d’utilisateur (UPN)** : Fait référence au nom d’utilisateur système dans Active Directory, dont le format est similaire à celui d’un e-mail. **Exemple : user_name@domain.com** |
| Valeur du nom alternatif du sujet (Peut être configurée uniquement si le nom alternatif du sujet est configuré) | Spécifiez la valeur du type de nom alternatif. |
| Nombre maximal de tentatives échouées | Nombre de tentatives pour obtenir le certificat auprès de la CA. |
| Intervalle de temps entre les tentatives | Temps d’attente avant les tentatives suivantes d’obtention du certificat |
| Type de défi | Clé secrète prépartagée fournie par la CA, qui ajoute une couche de sécurité supplémentaire |
| Mot de passe de défi d’inscription (Peut être spécifié uniquement si le type de défi est configuré sur Statique) | Fournissez le mot de passe de défi à utiliser. |
| Taille de la clé | Spécifiez si la clé est de 1024 ou 2048 bits. |