Vergleich der Protokolle ACME, EST, SCEP und CMPv2 für die Zertifikatsbeschaffung
25.06.2025 | Jindřich Zechmeister
Automatisierung der Verwaltung digitaler Zertifikate ist entscheidend für moderne IT-Umgebungen – von Webservern über mobile Geräte bis hin zu unternehmensweiten PKI-Systemen. Es gibt mehrere Protokolle, die verwendet werden, um Zertifikate von Zertifizierungsstellen (CAs) zu beziehen. In diesem Artikel vergleichen wir die vier am weitesten verbreiteten Protokolle: ACME, EST, SCEP und CMPv2.
Vergleich der Protokolle zur Zertifikatsautomatisierung
Das heutige IT-Thema ist die Automatisierung von TLS-Zertifikaten, die durch ihre bevorstehende Verkürzung auf 47 Tage motiviert ist. Schauen wir uns gemeinsam die gängigsten Protokolle zur Erlangung von TLS-Zertifikaten an und wie Sie diese nutzen können. Alle aufgeführten Protokolle ermöglichen die automatisierte Zertifikatserlangung – sei es für einfache Webbereitstellungen über ACME, Geräteverwaltung über SCEP oder EST, oder Unternehmensszenarien mit voller Kontrolle über CMPv2.
Lassen Sie uns gemeinsam die einzelnen Protokolle ansehen.
ACME – Automatic Certificate Management Environment
ACME ist ein modernes Protokoll, das die Erlangung und Erneuerung von Zertifikaten automatisiert; es wird von großen CAs wie DigiCert unterstützt. Es kommuniziert über HTTPS und verwendet die Domainvalidierung (DNS oder HTTP).
- Vorteile: Einfachheit, breite Unterstützung, vollständige Automatisierung
- Nachteil: Eingeschränkte Nutzung außerhalb von TLS/Web-Zertifikaten
EST – Enrollment over Secure Transport
EST ist der sicherere Nachfolger von SCEP. Es nutzt HTTPS und ermöglicht die Verifizierung mithilfe von TLS-Client-Zertifikaten oder sogenannten Enrollment-Codes. Häufig findet es Anwendung in IoT und Unternehmensnetzwerken.
- Vorteile: Starke Verschlüsselung, Unterstützung beiderseitiger Authentifizierung
- Nachteil: Aufwendigere Implementierung, weniger verbreitet
SCEP – Simple Certificate Enrollment Protocol
SCEP ist ein älteres und einfacheres Protokoll, das weitverbreitet in Netzwerkgeräten (z.B. Cisco) und MDM-Lösungen genutzt wird. Die Authentifizierung erfolgt durch ein statisches Passwort, das als Challenge Passwort bezeichnet wird.
- Vorteile: Breite Unterstützung, Einfachheit
- Nachteil: Schwächere Sicherheit, eingeschränkte Funktionalität
CMPv2 – Certificate Management Protocol v2
CMPv2 ist ein umfassendes Protokoll für das Management von Zertifikaten während ihres gesamten Lebenszyklus – einschließlich Ausstellung, Erneuerung, Sperrung und Schlüsselaktualisierung. Es ist hauptsächlich für Unternehmensumgebungen und Telco gedacht.
- Vorteile: Robust, flexibel, vollständige PKI-Unterstützung
- Nachteil: Höhere Komplexität, schwierigere Implementierung
Vergleichstabelle
Eigenschaft / Protokoll | ACME | EST | SCEP | CMPv2 |
---|---|---|---|---|
Primärer Einsatz | Web/TLS-Zertifikate | IoT, Geräte | MDM, Netzwerke | Unternehmens-PKI |
Transport | HTTPS (REST) | HTTPS | HTTP | HTTP(S), TCP |
Authentifizierung | DNS/HTTP-Validierung | TLS-Zert., Enrollment-Code | Challenge Passwort | Flexibel (PKI) |
Zertifikaterneuerung | ✅ Ja | ✅ Ja | ⚠️ Eingeschränkt | ✅ Vollständig |
Zertifikatssperrung | ⚠️ Eingeschränkt | ⚠️ Möglich | ❌ Nein | ✅ Ja |
Verschlüsselungsunterstützung | Modern | Modern | Veraltet | Modern |
Einfachheit | ✅ Einfach | ⚠️ Mittel | ✅ Einfach | ❌ Komplex |
Standardisierung | RFC 8555 | RFC 7030 | Cisco/IETF Entwurf | RFC 4210 |
Zertifikatsautomatisierung | ✅ Volle Automatisierung | ✅ Teilweise Automatisierung | ✅ Grundlegende Automatisierung | ✅ Volle Automatisierung |
Wie diese Protokolle genutzt werden?
Das ACME-Protokoll ist jedem Kunden kostenlos bei SSLmarket verfügbar. Dadurch können Sie die Ausstellung und Erneuerung von TLS-Zertifikaten ohne zusätzliche Kosten und komplizierte Konfiguration automatisieren. Melden Sie sich einfach in Ihrem Kundenbereich an und klicken Sie auf den ACME-Link im oberen Menü. Danach können Sie kostenlos Zugänge zu EAB ACME DigiCert erstellen.
Alle vier genannten Protokolle – ACME, EST, SCEP und CMPv2 – werden in der Lösung DigiCert Trust Lifecycle Manager unterstützt, die als zentrale Plattform für das Management von Zertifikaten und Schlüsselmaterial innerhalb der gesamten Organisation dient. Sie ermöglicht eine sichere und automatisierte Zertifikatsbereitstellung über verschiedene Umgebungen (on-premises, Cloud, Hybrid) hinweg und unterstützt die Integration mit MDM, DevOps und Netzwerkinfrastrukturen. Weitere Informationen zum DigiCert Trust Lifecycle Manager finden Sie auf seiner Produktseite.
Fazit
Die Auswahl des richtigen Protokolls hängt vom spezifischen Szenario ab. ACME ist ideal für die Automatisierung von TLS-Zertifikaten, EST für moderne IoT und Geräte, SCEP für ältere Infrastrukturen und CMPv2 für vollständig verwaltete PKI in Unternehmensumgebungen. Die richtige Integration dieser Protokolle kann die Zertifikatsverwaltung erheblich vereinfachen und die Sicherheit der gesamten Infrastruktur erhöhen.
ACME kann von jedem SSLmarket-Kunden kostenlos genutzt werden; für umfassende Lösungen empfehlen wir den DigiCert Trust Lifecycle Manager. Wir präsentieren ihn Ihnen gern.
Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus
e-mail: jindrich.zechmeister(at)zoner.cz