Das Simple Certificate Enrollment Protocol (SCEP) unterstützt die gesicherte Herausgabe von Zertifikaten an Netzwerk-Einrichtungen unter Benutzung vorhandener Technologien. Das SCEP-Protokoll übernimmt dabei die Einschreibung und den Widerruf von Zertifikaten, die Anfrage nach Zertifikaten ebenso wie die Anfrage nach Widerrufslisten (CRL).

Das SCEP-Protokoll wurde von Cisco und VeriSign für Zertifikatsanfragen an die Zertifizierungsstelle (CA) definiert. SCEP-Anfragen werden als PCSK-Nachrichten nach PCSK#7 codiert und mittels HTTP zur Zertifizierungsstelle übermittelt. Dem Verfahren nach sendet der Client einen HTTP-Request an die Zertifizierungsstelle und fragt diese nach ihrem Zertifikat sowie nach dem Zertifikat der Registrierungsstelle, falls verfügbar. Dieses Zertifikat wird für die gesamte darauf folgende Kommunikation mit der CA verwendet. Die SCEP-Nachricht wird signiert und in einer PKCS#7-Nachricht unter Einbeziehung des Zertifikats verpackt. Um ein manuelles Bestätigen zu ermöglichen, kann die Beantwortung durch die CA verschoben werden. Jede SCEP-Anfrage wird durch einen Übertragungs-Identifier gekennzeichnet, der vom Client erzeugt wird und die Anfrage eindeutig kennzeichnet.

Der Zugriff auf die Zertifikate und Sperrlisten kann mittels LDAP-Protokoll erfolgen oder über die Query-Message von SCEP.

Als Instanz-Typen definiert SCEP die End-Instanzen, wie IPsec-Clients, die Zertifizierungsstelle (CA) und die Registrierungsstelle (RA).