[ml] IPsec + PKI e rinnovo dei certificati

Un saluto a tutta la lista. 

Vorrei sottoporvi un quesito riguardo un sistema IPsec integrato con una PKI e di cui mi devo occupare.
La questione riguarda in che modo sia possibile gestire l'aggiornamento ed il rinnovo dei certificati.

L'architettura di massima è la seguente: 

- una PKI locale gestita tramite OpenCA e che, per semplicità, risiede su un unico Server;
- sistema di comunicazione IPsec in tunnel mode + ESP;
- utilizzo di IKEv2 con certificati digitali X.509v3;
- un gateway IPsec principale (VPN-Concentrator) che può comunicare direttamente con il Server OpenCA;
- vari gateway IPsec remoti che non possono comunicare con il Server OpenCA se non dopo l'istanziazione del tunnel;
- i certificati digitali vengono distribuiti manualmente una prima volta su tutti i gateway remoti.


+----------------------+
| CA + RA + Repository |  (OpenCA)
+----------------------+
           |
      trusted link
           |
+----------------------+
|   VPN-Concentrator   |
+----------------------+
          | |
          | |
      IPsec tunnels
          | |
          | |
+----------------------+
|   remote Gateways    |
+----------------------+


Le procedure di rinnovo ed aggiornamento dei certificati del VPN-Concentrator sono automatizzate ed usano il protocollo SCEP: vorrei poter fare la stessa cosa con i gateway remoti. In linea di principio, una volta creato il tunnel, i gateway possono "vedere" il Server OpenCA ed usare SCEP per dialogare con la PKI.

Domanda finale:

- ci sono potenziali problemi di sicurezza (teorici e pratici) se si usa SCEP nel tunnel per le procedure di rinnovo dei certificati?

Non vorrei che la domanda sembrasse stupida, ma secondo il documento IETF draft-ietf-pki4ipsec-mgmt-profile-rqts-05.txt sembrerebbe una procedura non consentita in un sistema come quello in oggetto.

Grazie anticipatamente a tutto coloro che vorranno rispondere.

Andrea Manganaro