CMP和SCEP协议有什么区别？

Question

1. CMP和SCEP协议有什么区别？
2. 哪一个更好？

Answer 1

CMP是一种通用协议，其目标是覆盖大多数(如果不是全部)涉及证书颁发机构的网络交换；例如，它包括给想宣布它有一个新密钥对的CA的消息。该协议相当复杂，并且已经存在了很长一段时间(第一次发布版本是从1999年开始的)。

SCEP是一个范围较小的专用协议；它专注于注册和CRL获取，并且绝对是客户机/服务器(所有消息都是发送到CA的请求和来自CA的响应，而CMP允许CA驱动的交换)。SCEP不是一个正式的标准；它甚至不是一个RFC，但仍然是一个1.过期的草案，2.注定成为一个“历史性的”RFC。然而，SCEP实际上是一个很大的“标准”，因为思科的硬件往往是这样做的。

最近一份SCEP草案的第二段说明了这一切，所以让我详细引用一下：

此规范定义了一个协议，简单证书注册协议(SCEP)，用于在封闭环境中进行证书管理、证书和CRL查询。在广泛应用的同时，该协议省略了一些证书管理功能，例如带内证书撤销事务，这可以大大提高PKI中所实现的安全性。IETF协议套件目前包括两个具有更全面功能的证书管理协议:证书管理协议(CMP) RFC4210和CMS (CMC) RFC5272上的证书管理协议。不需要与SCEP实现互操作性的环境应该使用上面提到的PKIX标准证书管理协议。鉴于此规范与两个IETF标准跟踪协议之间的功能差距，该规范将作为历史性发布。即使需要与SCEP实现的已安装基础的互操作性，也鼓励实现人员除了本规范中定义的协议之外，还支持这些综合标准之一跟踪证书管理协议。这种实现策略平衡了对互操作性的短期需求和长期安全目标。

因此，我们鼓励您支持和使用CMP，并且您应该设想SCEP主要是为了与遗留部署的兼容性，即使这样，您也知道SCEP不会做所有可以用CMP完成的事情。

Answer 2

由于这个问题，SCEP现在已经完全标准化为RFC 8894 (经过了微不足道的20年)，并且仍然是最广泛使用的注册协议之一。它现在可以处理ECC密钥注册，这是最初未处理的。

ACME协议是为LetsEncrypt创建的，特别擅长于注册web服务器。

这两种用法都涵盖了大部分用途，对于最复杂的用途，则是CMP、CMC和EST，而业界对它们的支持较少。EST主要是具有CMP元素的极其复杂的CMC的子集。思科现在正全力拉动EST，很可能是这三家公司中的一家。

请注意，许多协议的用例实际上并没有被使用，因为它们是以其他方式处理的。CRL分发和CA翻转通常以其他方式处理，例如( CRL不应该真正使用，但可能用于OCSP响应程序)。