Endpointcertificaten zijn slechts het begin: Microsoft Cloud PKI vergeleken met SCEPman

Endpointcertificaten zijn slechts het begin

In een eerdere blogpost stonden we stil bij nieuwe functies die Microsoft toevoegt aan zijn licentieportfolio, en hoe organisaties daar concreet voordeel uit kunnen halen. Eén van die thema’s was Enterprise Application Management.

In deze blog zoomen we in op een andere evolutie. Een oplossing die vroeger als apart product werd aangeboden, maar vandaag beschikbaar komt voor klanten met een Microsoft 365 E5-licentie: Microsoft Cloud PKI.

Meer concreet bekijken we wat Microsoft Cloud PKI wel is, wat het niet is, en waarom dat onderscheid belangrijker is dan het op het eerste gezicht lijkt. Want zoals bij zoveel aspecten van modern workplace management zit de echte waarde niet in de feature op zich, maar in hoe goed ze aansluit bij waar je organisatie vandaag staat en waar ze morgen naartoe wil.

Waarom client authentication belangrijker is dan ooit

Client authentication speelt een steeds grotere rol in moderne IT-omgevingen. Los van Zero Trust-strategieën is certificaatgebaseerde authenticatie voor enterprise WiFi, VPN of 802.1X-netwerken vandaag vaak meer dan een nice-to-have. In veel organisaties is het gewoon een vereiste.

Certificaten bieden sterke, niet-interactieve authenticatie, zijn goed schaalbaar en laten zich uitstekend automatiseren. Ze sluiten perfect aan bij moderne securityverwachtingen.

Maar hoewel de securityvoordelen al lang duidelijk zijn, was de operationele realiteit historisch gezien een pak minder aantrekkelijk.

De klassieke PKI-uitdaging

Traditioneel betekende het beheer van devicecertificaten dat je een volledige enterprise PKI moest opzetten en onderhouden, vaak in combinatie met NDES. In gecentraliseerde omgevingen was dat al complex. Met een gedistribueerd en grotendeels remote personeelsbestand werd het ronduit uitdagend.

Endpoints moesten PKI-infrastructuur kunnen bereiken buiten de netwerkperimeter. Firewallregels stapelden zich op. Beschikbaarheid werd kritisch. Legacycomponenten vroegen continu onderhoud.

Wat begon als een securityverbetering, eindigde in de praktijk vaak als een fragiele en operationeel dure setup.

Endpointcertificaten, eenvoudiger gemaakt

Cloudgebaseerde oplossingen hebben dit landschap grondig veranderd. Diensten zoals Microsoft Cloud PKI en SCEPman maken het beheer van endpointcertificaten aanzienlijk eenvoudiger.

Afhankelijk van de oplossing is er weinig tot geen infrastructuur meer om zelf te beheren. De certificate authority leeft in de cloud, inbound firewall rules verdwijnen en de afhankelijkheid van legacy NDES-servers valt weg.

Voor IT-teams betekent dat minder operationele overhead – en vooral: meer tijd en focus voor andere prioriteiten.

Wanneer certificaten verder gaan dan endpoints

Het echte onderscheid tussen Microsoft Cloud PKI en SCEPman wordt pas zichtbaar zodra certificaten nodig zijn buiten de klassieke device- en network access-scenario’s.

Moderne omgevingen gebruiken certificaten steeds vaker voor:

  • MTLS tussen services
  • Geautomatiseerde certificaatuitgifte via ACME
  • Code signing in CI/CD-pipelines
  • Certificaten voor workloads, containers en automation accounts
  • Integraties met platformen zoals Azure DevOps en GitHub
  • Authenticatie naar on-premises resources via certificaten

Deze use cases verschillen fundamenteel van WiFi, VPN of 802.1X-authenticatie. Ze zijn niet device-centric en vaak ook niet exclusief gekoppeld aan Intune-beheer.

Microsoft Cloud PKI is bewust tot die endpoint-scope afgebakend. Het is ontworpen om certificaten uit te geven en te beheren voor Intune-managed endpoints en doet dat bijzonder goed. Maar daar stopt het verhaal.

Microsoft Cloud PKI ondersteunt geen ACME, geen service-to-service mTLS, geen code signing in CI/CD-pipelines en geen certificaten voor workloads of services. Zelfs wanneer het wordt gechained aan een bestaande enterprise CA, verandert die scope niet. De chaining bewaart het trustmodel en moderniseert de uitgifte van endpointcertificaten, maar de CA blijft onbereikbaar voor workloads, pipelines en on-premises services.

SCEPman benadert deze grens fundamenteel anders.

Hoewel SCEPman eveneens vertrekt vanuit het endpointcertificaatperspectief, is het ontworpen om voor een certificate authority te zitten in plaats van ze te vervangen. Op zichzelf focust het op device- en usercertificaten. Maar wanneer het wordt ondersteund door een enterprise CA, kan het zowel naar buiten als naar binnen meegroeien.

Naar buiten toe kan het coexistëren met bredere PKI-use cases zoals ACME-gebaseerde certificaatautomatisering, mTLS tussen services en code signing in CI/CD-pipelines zolang de onderliggende CA deze scenario’s ondersteunt. SCEPman implementeert deze protocollen niet zelf, maar blokkeert ze ook niet. Het blijft de enrollment- en lifecyclelaag voor endpoints, terwijl workloads en pipelines rechtstreeks met de CA communiceren via de juiste mechanismen.

Naar binnen toe maakt datzelfde model het mogelijk om on-premises omgevingen te ondersteunen. Devices, users en services on-prem kunnen authenticeren met certificaten die door dezelfde vertrouwde CA zijn uitgegeven. Netwerkinfrastructuur, legacy applicaties en authenticatiesystemen hoeven enkel die CA te vertrouwen, niet de locatie waar de enrollment werd gestart.

Dat maakt SCEPman een natuurlijke keuze in hybride omgevingen waar cloud-managed devices en on-prem resources onder één trustmodel moeten samenwerken.

De architecturale conclusie

Zowel Microsoft Cloud PKI als SCEPman lossen het endpointcertificaatprobleem goed op.

  • Microsoft Cloud PKI is geoptimaliseerd voor eenvoud en operationele efficiëntie in endpointscenario’s.
  • SCEPman is geoptimaliseerd voor coexistence met bredere PKI-architecturen, waardoor certificaatgebruik kan meegroeien richting cloud workloads, automatisering en on-prem systemen zonder het endpointmodel opnieuw te moeten ontwerpen.

In de praktijk betekent dit dat Microsoft Cloud PKI een endpointcertificaatoplossing blijft, terwijl SCEPman kan meegroeien met zowel cloud-native als hybride infrastructuren, mits ondersteund door een capabele enterprise certificate authority.

Geen van beide benaderingen is fout. Ze vertrekken simpelweg van verschillende toekomstbeelden.

Een value-gedreven perspectief

Als modern workplace partner is het niet onze rol om automatisch voor de meest complexe oplossing te kiezen. Maar ook niet om ervan uit te gaan dat “wat inbegrepen is” per definitie volstaat.

Voor sommige organisaties is Microsoft Cloud PKI de meest cleane en kosteneffectieve manier om endpointcertificaten te moderniseren in een cloud-first omgeving.

Voor andere organisaties  vooral die in hybride omgevingen werken of verder evolueren richting cloud-native architecturen biedt SCEPman een stevigere basis voor groei. In combinatie met een enterprise CA laat het toe om certificaatgebruik uit te breiden voorbij devices, richting workloads, automatisering en on-prem systemen, zonder vroegtijdig het volledige PKI-model te moeten hertekenen.

De sleutel zit in begrijpen waar certificaten vandaag worden ingezet, en waar ze morgen waarschijnlijk nodig zullen zijn.

Want de juiste PKI-aanpak kiezen gaat niet over tools.

Het gaat over ontwerpen voor evolutie zonder te vroeg voor complexiteit te betalen.

Download het volledige e‑book over VDI
Sparren met een expert?