Sdílet prostřednictvím

Co je služba zápisu síťových zařízení pro službu Active Directory Certificate Services?

Služba zápisu síťových zařízení (NDES) je jednou ze služeb rolí služby AD CS (Active Directory Certificate Services). NDES funguje jako registrační autorita, která umožňuje software na směrovačích a dalších síťových zařízeních spuštěných bez přihlašovacích údajů domény získat certifikáty založené na protokolu SCEP (Simple Certificate Enrollment Protocol).

SCEP definuje komunikační protokol mezi síťovými zařízeními a registrační autoritou pro registraci certifikátu. Snaží se podporovat zabezpečené vystavování certifikátů síťovým zařízením škálovatelným způsobem pomocí stávajících technologií v uzavřených sítích s důvěryhodnými koncovými body. Další informace o SCEP naleznete v tématu RFC 8894 Simple Certificate Enrollment Protocol.

Principy služby zápisu síťových zařízení

SCEP je řešení problému s povolením síťových zařízení, která neběží s přihlašovacími údaji domény k registraci certifikátů x509 verze 3 od certifikační autority. NDES poskytuje jakékoli síťové zařízení s privátním klíčem a přidruženým certifikátem vydaným certifikační autoritou. Aplikace v zařízení můžou klíč a přidružený certifikát používat k interakci s dalšími entitami v síti. Nejběžnějším použitím certifikátu vydaného NDES na síťovém zařízení je ověření zařízení v relaci PROTOKOLU IPSec.

Společnost SCEP byla vyvinuta tak, aby podporovala zabezpečené a škálovatelné vystavování certifikátů síťovým zařízením pomocí existujících certifikačních autorit (CA). Protokol podporuje distribuci veřejného klíče certifikační autority, registraci a dotazy na odvolání certifikátů.

NDES provádí následující funkce:

  • Generuje a poskytuje správcům jednorázová hesla pro registraci.

  • Odešle žádosti o registraci certifikační autoritě.

  • Načte zaregistrované certifikáty z certifikační autority a předá je do síťového zařízení.

NDES se implementuje jako rozšíření ISAPI (Internet Server API). Vyžaduje, aby byla na stejném počítači nainstalovaná role Internetová informační služba (IIS). Nevyžaduje instalaci certifikační autority na stejný počítač. Rozšíření ISAPI běží ve vlastním fondu aplikací, tj. SCEP. Tento fond aplikací se vytvoří během instalace a je nakonfigurovaný tak, aby běžel s přihlašovacími údaji zadanými během instalace.

Specifikace SCEP nevyžaduje, aby zařízení podporovala protokol TLS. Proces načítání jednorázového hesla ze služby by ale měl být chráněný pomocí protokolu TLS. Instalační program vytvoří dvě virtuální aplikace – jednu pro zařízení a jednu pro správce.

  • Umístění komunikace zařízeníhttps://<hostname>/certsrv/mscep
  • Umístění pro získání hesla pro přihlášení správce https://<hostname>/certsrv/mscep_admin

Hesla služba používá k ověření zařízení před předáním žádosti o registraci certifikační autoritě. Hesla se získávají voláním virtuální aplikace pro správu.

Registrace certifikátů prostřednictvím služby zápisu síťových zařízení je jednoduchý proces:

  1. Zařízení získá dvojici veřejného a privátního klíče RSA z webového koncového bodu /certsrv/mscep.

  2. Správce získá heslo ze služby zápisu síťových zařízení.

  3. Správce nastaví zařízení s heslem a nastaví ho tak, aby důvěřoval podnikovému koncovému bodu infrastruktury veřejných klíčů /certserv/mscep_admin.

  4. Zařízení nakonfigurované tak, aby odesílala žádost o registraci do NDES.

  5. NDES podepíše žádost o registraci pomocí certifikátu agenta registrace a odešle ji certifikační autoritě.

  6. Certifikační autorita vydává certifikát.

  7. Zařízení načte vystavený certifikát ze služby NDES.

Nastavení konfigurace NDES

Po instalaci služby role NDES je možné nakonfigurovat spuštění jako jednu z následujících možností:

  • Uživatelský účet zadaný jako účet služby

  • Předdefinovaná identita fondu aplikací počítače Internetové informační služby (IIS)

Další kroky

Teď, když jste se dozvěděli o tom, co je NDES, jsou některé články, které vám pomůžou s konfigurací a úspěšným spuštěním NDES.