跳至主要内容

SCEP 和 NAC 在现代 MDM 基础设施中的作用

本指南全面解析了 SCEP 和 NAC 如何与 MDM 平台集成,以在企业规模下提供安全的零接触网络接入。它涵盖了从证书颁发到 802.1X 强制执行的完整架构,并结合了来自酒店和零售业的真实部署案例。本指南专为大型场馆的 IT 领导者设计,旨在帮助他们消除密码漏洞、自动进行设备配置并在本季度满足合规性要求。

📖 7 分钟阅读📝 1,710 🔧 2 应用实例3 练习题📚 9 关键定义

收听本指南

查看播客转录
欢迎来到 Purple 技术简报。我是您的主持人,今天我们将深入探讨企业网络的一个关键架构主题:SCEP 和 NAC 在现代 MDM 基础设施中的作用。如果您是 IT 总监、网络架构师,或者正在管理大型场所(无论是体育场、医院还是零售连锁店)的运营,您一定深知安全引导设备入网的痛苦。预共享密钥的时代已经结束。今天,我们将讨论基于证书的身份验证。我们将探讨简单证书注册协议(即 SCEP)如何与网络接入控制(即 NAC)配合使用,以实现设备配置自动化并实施零信任接入。让我们直接进入正题。 让我们来剖析一下这个架构。其核心分为三个层:设备层、策略引擎和网络接入层。当新的公司设备或 BYOD 终端需要接入时,它首先向您的移动设备管理平台(MDM)注册。但仅凭 MDM 无法授予网络接入权限。这就是 SCEP 发挥作用的地方。 SCEP 充当了您的 MDM 与证书颁发机构(CA)之间的自动信使。MDM 会将载荷推送到设备,而不是由 IT 管理员手动在每台设备上生成并安装 X.509 证书。设备生成证书签名请求(CSR)并将其发送到 SCEP 服务器。CA 签发证书,设备现在就拥有了加密安全的身份。没有可供网络钓鱼的密码,也没有可供泄露的共享密钥。 但证书只是一张身份证,您仍然需要门口的门卫。这就是您的 NAC。当设备尝试连接到 WiFi 时 - 通常使用 802.1X EAP-TLS - 无线接入点将请求传递给 RADIUS 服务器,该服务器由 NAC 策略引擎管理。NAC 会检查证书:它是否有效?是否已被撤销?但现代 NAC 的功能远不止于此。它会检查 MDM 中的设备合规状态:操作系统是否已更新?防火墙是否已开启?如果满足,NAC 会指示交换机或接入点将设备划分到正确的 VLAN。如果不满足,则会将其放入修复网络中。 这种集成对于大型零售连锁店或医疗机构等环境至关重要,因为这些环境混合了公司笔记本电脑、IoT 设备和访客网络。说到访客网络,这正是 Purple 的 Guest WiFi 和 WiFi Analytics 等平台与您的安全企业 SSID 无缝集成的地方,可确保公共接入与您的安全、有证书支持的基础设施相隔离。 那么,如何在不破坏网络的情况下部署它呢?第一个建议:始终使用 EAP-TLS。它要求服务器和客户端两端都拥有证书,从而提供双向身份验证。 第二,注意您的证书撤销列表(CRL)和 OCSP。如果设备遭到入侵或员工离职,如果 NAC 没有实时检查撤销状态,那么在 CA 中撤销证书将无济于事。 我们在酒店和大型场所中常见的一个误区是忽视了物联网设备。并非所有的物联网传感器或智能电视都支持 802.1X 或 SCEP。针对这些设备,您需要一种备用策略,例如 MAC 身份验证绕过(即 MAB),并由您的 NAC 严格控制到特定的交换机端口或隔离的 VLAN。 另一个误区是证书有效期。不要将它们设置为 10 年,但除非您通过 SCEP 进行的自动更新万无一失,否则也不要设置为 30 天。1 年的有效期并在剩余 30 天时自动更新是可靠的行业标准。 让我们快速解答几个我们经常从 CTO 那里收到的问题。 问题一:我们能否将现有的 Active Directory 证书服务用于 SCEP?可以,Microsoft AD CS 包含网络设备注册服务(即 NDES)角色,可作为 SCEP 服务器。只需确保其得到妥善保护并向您的 MDM 开放即可。 问题二:这会取代我们的防火墙吗?绝对不会。SCEP 和 NAC 在边缘(第 2 层)处理身份验证和访问控制。您的防火墙则在第 3 层到第 7 层处理流量检测和威胁防御。它们协同工作。 总结一下,将 SCEP、NAC 和 MDM 结合使用,可为您带来零接触、高度安全的网络边缘。它消除了与密码相关的服务台工单,并确保只有合规的设备才能访问您的关键基础设施。 对于场所运营商而言,这意味着您的后台运营可以安全运行,让您能够专注于前台体验 - 您可以使用 Purple 的分析和互动工具来增强这一体验。 首先审计您当前的 MDM 功能,并确保您的 RADIUS 基础设施支持 EAP-TLS。规划好您的设备类型,并先用您的 IT 团队的设备进行试点。 感谢收听本次技术简报。保持安全,我们下期再见。

header_image.png

执行摘要

对于企业级场所 - 从容纳 80,000 人的体育场到多站点零售连锁店 - 保护网络边缘的安全已果断地超越了预共享密钥和手动凭据管理。企业终端、BYOD 设备和 IoT 基础设施的激增,要求采用零信任架构,这种架构需要具备可扩展性,同时不增加 IT 服务台的负担。

本指南详细介绍了将简单证书注册协议 (SCEP) 和网络准入控制 (NAC) 与移动设备管理 (MDM) 基础设施集成的技术架构。通过利用 SCEP 自动分发 X.509 证书,并利用 NAC 强制执行 IEEE 802.1X EAP-TLS 认证,企业可以实现零接触配置、消除凭据窃取途径,并实施基于姿态的动态网络准入。虽然面向公众的访问是通过专用的 Guest WiFi 解决方案进行管理的,但此架构可确保维持场馆运行的关键后台操作的安全。其结果是显著降低了 IT 开销,增强了 GDPR 和 PCI-DSS 下的合规性,并在网络边缘主动执行零信任原则。


技术深度解析

三层架构

现代网络安全依赖于密码学身份,而非用户认知。SCEP-NAC-MDM 堆栈在三个主要层级上运行:

层级 组件 功能
设备管理 MDM / UEM 设备配置、合规性和生命周期的中央管理机构
身份与签发 PKI / SCEP / CA 生成、签发和管理数字证书
准入执行 NAC / RADIUS 在授予网络准入权限之前评估证书和设备姿态

这些层级不是顺序运行的 - 它们在一个持续的反馈循环中运行。MDM 实时向 NAC 通知合规状态,而当设备未通过姿态检查时,NAC 可以触发 MDM 修复工作流。

architecture_overview.png

SCEP 如何实现大规模 PKI 自动化

在大规模场景下,手动部署证书在操作上是不可能的。一个拥有 500 台设备的资产需要 IT 管理员在每台设备上生成、签名并安装一个独立的 X.509 证书 - 这一过程在每台设备上都需要花费几分钟,并引入了巨大的潜在人为错误风险。SCEP 完全消除了这一问题。

当设备在 MDM 中注册时,MDM 会推送一个包含 SCEP 载荷的配置配置文件。该载荷指示设备在本地生成密钥对(至关重要的是,私钥永远不会离开设备),并向 SCEP 服务器提交证书签名请求 (CSR)。SCEP 服务器(通常是微软的网络设备注册服务 (NDES) 或基于云的同等服务)向 MDM 验证该请求,以确认设备已获得授权。然后,它将 CSR 转发给证书颁发机构 (CA),由其颁发已签名的 X.509 证书。该证书将返回给设备并安装在其安全区域或系统密钥库中。

整个过程是在后台无线静默完成的,无需用户交互。对于拥有 1,000 台设备的部署,在 MDM 注册完成后,几个小时内即可配给完整的证书资产。

NAC 与 802.1X EAP-TLS:执行层

一旦设备持有有效证书,它就会尝试使用 IEEE 802.1X 连接到企业 SSID 或有线端口。接入点或交换机充当认证器,将请求转发给受 NAC 策略引擎管理的 RADIUS 服务器。最安全的 EAP 方法是 EAP-TLS,它需要双向认证 - 客户端和 RADIUS 服务器都必须出示有效的证书,从而防止通过欺诈性接入点进行的中间人攻击。 NAC 依次执行几项关键检查:

  1. 密码学验证: 证书在数学上是否有效,并且是由受信任的根 CA 签名的?
  2. 吊销检查: 证书是否列在证书吊销列表 (CRL) 中,或者是否通过联机证书状态协议 (OCSP) 标记?
  3. 状态评估: NAC 通过 API 查询 MDM,并询问:设备是否合规?操作系统是否处于所需的补丁级别?是否启用了磁盘加密?

如果所有检查均通过,NAC 将发送 RADIUS Access-Accept 消息,该消息通常携带特定于供应商的属性 (VSA),用于动态地将设备分配到特定的 VLAN 或应用访问控制列表 (ACL)。不合规的设备将被置于具有有限权限的修复 VLAN 中 - 通常刚好足以触发 MDM 驱动的修复工作流。

scep_nac_workflow.png

访客网络隔离

在任何场所环境中,企业基础架构都必须与面向公众的网络严格隔离。 Guest WiFi 平台完全在独立的 SSID 和 VLAN 上运行,没有指向企业资源的路由路径。SCEP-NAC 架构管理企业层;访客层则由 Captive Portal 身份验证和数据捕获工作流控制。对于部署了 WiFi Analytics 的场所,这种隔离是先决条件 - 分析数据流经访客网络,而运营数据则流经证书验证的企业网络。有关支持这两个网络的底层射频架构的更多背景信息,请参阅 Wi-Fi Frequencies: A 2026 Guide to Wi-Fi Frequencies


实施指南

部署此架构需要精细的步骤顺序,以避免在过渡期间将合法用户拒之门外。

第 1 步:PKI 和 SCEP 准备

建立强大的内部 PKI,或利用基于云的托管 PKI (mPKI) 服务。部署并加固 SCEP 服务器 - 如果使用 Microsoft NDES,请确保其运行在专用服务器上,而不是与 CA 同一位置部署。将 SCEP 服务器配置为使用 MDM 为每个设备生成的动态挑战密码,而不是静态共享密钥。这可以防止在 SCEP URL 被发现时发生未授权的证书请求。

第 2 步:MDM 配置

在 MDM 平台中创建 SCEP 负载。仔细定义使用者替代名称 (SAN) 字段 - SAN 必须包含 NAC 将用于策略决策的唯一标识符(例如设备序列号或用户 UPN)。首先将配置文件推送给 IT 团队设备的试点组,并在进行更大范围的部署之前验证完整的注册流程。

第 3 步:NAC 和 RADIUS 设置

将您的 NAC 配置为信任颁发客户端证书的根 CA。在 RADIUS 服务器上安装服务器证书以进行 EAP-TLS 双向身份验证。根据证书属性和 MDM 合规性状态定义访问策略。实施动态 VLAN 分配规则:合规的企业设备分配到企业 VLAN,不合规的设备分配到修复 VLAN,IoT 设备分配到专用的、限制互联网访问的 VLAN。

第 4 步:网络基础架构集成

针对 802.1X 配置交换机和无线接入点。对于 retail 环境中存在传统销售终端硬件,或 hospitality 场所中存在智能客房控制器的场景,实施 MAC 身份验证绕过 (MAB) 作为无法参与 EAP-TLS 的设备的备用方案。将 MAB 限制在特定的交换机端口,并确保 MAC 地址数据库受到严格控制。对于 healthcaretransport 环境,配置准入评估规则以满足特定行业的合规性要求。

第 5 步:并行部署与切换

切勿立即进行切换。将新的 802.1X SSID 与现有网络并行广播。通过 MDM 推送新的 WiFi 配置文件。监控采用情况并解决注册失败问题。一旦超过 95% 的设备在新的 SSID 上成功进行身份验证,即可停用旧网络。


最佳实践

强制执行 EAP-TLS。 绝不接受 EAP-PEAP 或 EAP-TTLS 作为企业设备的主要身份验证方法。这些方法依赖于 TLS 隧道内的用户名/密码凭据,仍然容易受到凭据收集攻击。EAP-TLS 完全消除了这一攻击面。

实施实时吊销。 计划的 CRL 下载会产生暴露窗口。配置 NAC 以实时执行 OCSP 检查。当报告设备丢失或被盗时,在 CA 处吊销证书,设备在下一次身份验证尝试时立即失去网络访问权限 - 如果实施了授权变更 (CoA),则立即失去访问权限。

设置合理的证书有效期。 行业标准是为期一年的有效期,并在到期前 30 天触发自动 SCEP 续期。较长的有效期会增加证书被泄露时的暴露窗口;较短的有效期则会增加续期失败导致停机的风险。

积极隔离 IoT。 IoT 设备绝不应与企业终端共享 VLAN。使用 NAC 在 IoT VLAN 上实施严格的 ACL,仅允许每个设备类别所需的特定协议和目的地。对于部署定位服务的场所,请参阅 室内 WiFi 定位系统:工作原理及如何部署 ,了解定位基础设施如何与更广泛的网络架构集成。

与 WPA3 保持一致。 在硬件支持的情况下,将企业 SSID 配置为使用 WPA3-Enterprise,该协议强制执行保护管理帧 (PMF),并提供比 WPA2 更强的加密保护。有关这如何融入更广泛的企业连接格局的详细信息,请参阅 SD-WAN vs MPLS: A 2026 Guide to Enterprise Networking


故障排除与风险缓解

故障模式 根本原因 缓解措施
证书续期后设备 EAP-TLS 失败 SCEP 续期在后台静默失败 监控 SCEP 服务器日志;针对失败的 CSR 提交设置告警
由于时钟偏差导致证书验证失败 NTP 配置错误 在所有终端和基础设施上强制执行 NTP 同步
IoT 设备无法进行身份验证 无 802.1X 客户端 实施具有严格 MAC 地址控制和隔离 VLAN 的 MAB
CA 迁移后大面积设备被锁定 旧的根 CA 不受 NAC 信任 分阶段进行 CA 迁移;在吊销旧根 CA 之前,将新的根 CA 添加到 NAC 信任库中
已吊销的设备仍可访问网络 仅限 CRL 吊销且下载间隔较长 实施 OCSP 和 CoA 以进行实时吊销

对于特定的基于 BLE 的 IoT 设备,其身份验证架构与连接 WiFi 的终端有所不同。请参阅 面向企业的 BLE 低功耗说明 以了解适用于 Bluetooth Low Energy 基础设施的特定安全注意事项。


ROI 与业务影响

与替代方案的成本相比,集成 SCEP-NAC-MDM 的商业案例显而易见。

指标 实施前 实施后
IT 服务台工单(网络准入) 高 - 密码重置、密钥轮换 接近零 - 自动化证书生命周期
撤销受损设备的平均时间 数小时(手动流程) 数秒(OCSP + CoA)
PCI DSS 访问控制合规性 手动、审计密集型 自动化、持续强制执行
BYOD 注册时间 每台设备 15 - 30 分钟 无需 IT 介入,5 分钟以内

对于拥有 500 台设备的资产,消除手动证书管理和与密码相关的服务台工单通常可以将网络相关的 IT 支持开销减少 25 - 35%。风险规避价值 - 避免单次基于凭据的泄露 - 通常会超过整个实施成本。对于受 GDPR 约束的公共部门和医疗保健机构而言,证明自动化、可审计的访问控制能力是一项重要的合规资产。

关键定义

SCEP (简单证书注册协议)

一种无需用户干预即可自动向设备颁发和吊销数字证书的协议,作为 MDM 平台和证书颁发机构之间的通信层。

被 MDM 平台用于大规模无缝部署 X.509 证书到数千个终端。IT 团队在为 802.1X WiFi 身份验证配置 MDM 配置文件时会遇到 SCEP。

NAC (网络准入控制)

一种安全解决方案,对寻求访问网络基础设施的设备执行策略,在授予访问权限之前评估身份验证凭据、证书有效性和设备合规态势。

作为网络边缘的守门人。IT 团队配置 NAC 策略,根据设备的证书属性和 MDM 合规状态,定义哪些设备可以访问哪些 VLAN。

MDM (移动设备管理)

IT 部门用于监控、管理和保护跨多个操作系统的员工终端的软件,作为设备身份和合规性的中央信任源。

SCEP 注册过程的发起者,以及 NAC 查询的合规态势数据的来源。如果没有 MDM 集成,NAC 就无法执行基于合规态势的准入控制。

IEEE 802.1X

一项用于基于端口的网络准入控制的 IEEE 标准,为希望接入局域网或无线局域网的设备提供身份验证机制,在端口打开前需要成功通过身份验证。

强制设备在交换机或接入点允许任何流量通过之前进行身份验证的底层协议。在网络基础设施和设备的 802.1X 请求方上均需进行配置。

EAP-TLS (扩展身份验证协议 - 传输层安全)

最安全的 EAP 标准,要求进行双向身份验证,客户端设备和 RADIUS 服务器都必须出示有效的数字证书,从而消除了基于密码的凭据攻击。

企业无线安全的黄金标准。只要部署了设备证书基础设施,IT 架构师就应该强制要求使用 EAP-TLS,而不是 PEAP 或 TTLS。

CSR (证书签名请求)

由设备生成的编码文本块,其中包含其公钥和身份详细信息,提交给证书颁发机构以请求签名的 X.509 证书。

在 SCEP 注册过程中由设备自动生成。与 CSR 对应的私钥永远不会离开设备,从而确保证书无法被复制。

MAB (MAC 身份验证绕过)

一种备用身份验证方法,其中网络使用设备的硬件 MAC 地址作为其凭据,用于缺乏 802.1X 请求方能力的设备。

用于无法参与 EAP-TLS 的传统物联网设备,例如打印机、传感器和智能会议室控制器。应始终将其分配给受到高度限制的 VLAN。

OCSP (在线证书状态协议)

一种用于实时获取 X.509 数字证书吊销状态的互联网协议,提供了下载和解析证书吊销列表的替代方案。

对于在设备受损或报告被盗时需要立即阻止网络访问的 NAC 系统至关重要。OCSP 提供实时状态;CRL 下载会产生吊销时间窗。

CoA (授权变更)

一种 RADIUS 扩展(RFC 5176),允许 NAC 动态修改或终止活动网络会话,而无需等待会话过期或设备重新认证。

用于在设备证书被吊销或其 MDM 合规状态发生变化时立即断开设备连接。这对于实时零信任执行至关重要。

应用实例

一家拥有 500 间客房的奢华度假村需要保护其后勤运营网络的安全。员工使用共享平板电脑进行客房管理,管理层则使用公司笔记本电脑。当前的 WPA2-PSK 网络曾多次泄露预共享密钥,导致过去一年中发生了两起安全事件。IT 团队应该如何在不中断运营的情况下过渡到基于证书的身份验证?

阶段 1 - 准备工作(第 1 至 2 周):部署基于云的 RADIUS/NAC 解决方案,并将其与现有的 MDM 集成。在 MDM 中配置 SCEP 配置文件,以将基于设备的证书推送给所有平板电脑和笔记本电脑。使用基于设备的证书(与设备序列号绑定)而非基于用户的证书,以便共享平板电脑无论由哪位员工使用均可自动进行身份验证。阶段 2 - 并行部署(第 3 至 4 周):广播配置了 802.1X EAP-TLS 的全新隐藏 SSID。通过 MDM 将新的 WiFi 配置文件推送至所有已注册的设备。监控 NAC 仪表板以确认身份验证成功。阶段 3 - 割接(第 5 周):一旦 95% 以上的设备连接到新的 SSID,即停用旧的 WPA2-PSK 网络。从所有文档和接入点中撤销旧的 PSK。

考官评语: 对于共享设备环境,采用基于设备的证书方法是正确的选择。基于用户的证书将要求每位员工都拥有自己的证书,这会带来管理开销,从而抵消自动化带来的好处。并行部署策略至关重要 - 立即割接会导致任何 SCEP 注册失败的设备被锁定,从而引发运营中断。为新网络设置隐藏 SSID 可防止宾客在过渡期间尝试连接到公司网络。

一家全国性零售连锁店正在 150 家门店部署 3,000 台新的销售终端(POS)。安全团队要求严格遵守 PCI DSS 网络隔离和零信任访问。部署时间表为 8 周。SCEP 和 NAC 如何在不需要每家门店都配备 IT 人员的情况下,实现如此规模的部署?

部署前:POS 供应商使用其零接触注册方案,将全部 3,000 台设备预先注册到零售商的 MDM 中。MDM 配置有 SCEP 配置文件,该文件将在设备首次启动时自动触发。部署:当门店中的 POS 终端开机时,它会连接到一个临时的引导 SSID(仅限互联网,无公司网络访问权限)。MDM 配置文件被推送,SCEP 载荷触发,设备向 CA 请求并接收其 X.509 证书。随后,MDM 推送公司 WiFi 配置文件。网络访问:当 POS 连接到门店的交换机端口时,交换机发起 802.1X。NAC 验证证书,查询 MDM 以确认 POS 符合合规要求(已启用加密、MDM 代理处于活动状态、未检测到越狱),并动态地将交换机端口分配到 PCI-DSS VLAN。此时 POS 即可正常投入运行。整个过程在门店无需任何 IT 人员参与。

考官评语: 此场景展示了将零接触 MDM 注册与 SCEP 自动化相结合的强大功能。临时引导 SSID 是一个至关重要的设计元素 - 它在不暴露企业网络的情况下,为 MDM 注册过程提供互联网访问。动态 VLAN 分配确保了即使恶意设备设法获取了有效的 MAC 地址,它仍然无法通过 EAP-TLS 证书检查,并将被拒绝访问 PCI VLAN。这种架构同时满足了 PCI DSS 要求 1(网络分段)和要求 8(唯一设备标识)。

练习题

Q1. 您的组织正在从使用 PEAP-MSCHAPv2 的 WPA2-Enterprise 迁移到 EAP-TLS。在试点期间,Windows 笔记本电脑和 iPhone 成功连接,但 200 台仓库条形码扫描枪无法通过身份验证。这些扫描枪支持 802.1X,但无法处理来自 MDM 的 SCEP 负载 — 它们运行的是没有 MDM 代理支持的专有嵌入式操作系统。在不需要更换扫描枪的情况下,能够保持网络隔离且最安全的架构解决方案是什么?

提示:考虑不需要 MDM 代理的替代证书交付机制,以及哪些网络隔离控制应适用于无法参与完整状态评估的设备。

查看标准答案

由于扫描枪支持 802.1X 但不支持 SCEP 或 MDM 注册,最安全的方法是使用具有受限密钥使用配置文件的专用证书模板手动配置设备证书。证书在维护窗口期间安装一次。NAC 配置为接受这些证书,但由于无法进行状态评估,因此将扫描枪分配给具有严格 ACL 的专用仓库运营 VLAN — 而不是完整的企业 VLAN。或者,如果手动证书配置在运营上无法扩展,请将 MAB 配置为专门针对扫描枪硬件的 MAC OUI 的回退方案,并由 NAC 将其分配给相同的受限 VLAN。在您的风险登记册中将此记录为已知例外,并安排在下一个硬件更新周期中更换扫描枪。

Q2. 网络安全经理注意到,当员工报告笔记本电脑被盗时,MDM 会发送远程擦除命令,但该设备仍连接到企业 WiFi 长达 12 小时 — 即当前的 RADIUS 会话超时时间。在此时间窗口内,该设备可能会被用于外泄数据。应如何修改架构,以便在报告设备被盗后立即终止网络访问?

提示:需要立即通知 NAC 状态变化,而不是等待下一个身份验证周期。同时考虑会话终止机制和重新认证预防机制。

查看标准答案

实施两种互补的控制措施。首先,配置 MDM 在设备被标记为丢失或被盗时立即向 NAC 发送 Webhook。然后,NAC 向特定的接入点或交换机端口发送 RADIUS Change of Authorization (CoA) 断开连接请求消息,立即终止活动会话。其次,在 CA 中吊销该设备的证书,并确保 NAC 配置为进行实时 OCSP 检查,而不是基于 CRL 的吊销。这意味着即使设备在处理 CoA 之前重新连接,EAP-TLS 身份验证也将在 OCSP 检查时失败。这两种控制措施共同将暴露窗口从 12 小时缩短到 60 秒以内。

Q3. 在对大型会议中心网络进行的安全审计中,发现 SCEP 服务器暴露在公共互联网上,并使用静态挑战密码来允许远程设备注册。审计人员将此标记为严重漏洞。应如何重新设计 SCEP 注册流程,以保持远程注册能力,同时消除静态密码风险?

提示:SCEP 服务器需要一种方法来验证请求证书的设备是否确实获得了 MDM 的授权,而不依赖于可能从设备中提取或被拦截的共享密钥。

查看标准答案

将静态挑战密码替换为由 MDM 生成的动态、针对每台设备的单次挑战密码。工作流程如下:(1)MDM 在设备注册期间为每台设备生成唯一的、有时间限制的挑战密码。(2)MDM 将此挑战密码包含在推送到设备的 SCEP 负载中。(3)设备在其 CSR 中包含该挑战密码。(4)SCEP 服务器在将 CSR 转发给 CA 之前,通过 API 与 MDM 验证该挑战密码。(5)挑战密码在使用后立即失效。这可确保只有受 MDM 管理的设备才能成功获取证书,并且即使 SCEP URL 被发现,攻击者在没有有效单次挑战密码的情况下也无法生成有效证书。此外,将 SCEP 服务器限制为仅限 HTTPS,并在可能的情况下为 MDM 的出口 IP 实施 IP 白名单。