¿Qué es el servicio de inscripción de dispositivos de red para los Servicios de certificados de Active Directory?

• Se aplica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

El servicio de inscripción de dispositivos de red (NDES) es uno de los servicios de rol de Servicios de certificados de Active Directory (AD CS). NDES actúa como entidad de registro para permitir que el software en los enrutadores y otros dispositivos de red que se ejecutan sin credenciales de dominio pueda obtener certificados a través del Protocolo de inscripción de certificados simple (SCEP).

SCEP define el protocolo de comunicación entre los dispositivos de red y una entidad de registro para la inscripción de certificados. Se esfuerza por admitir la emisión segura de certificados a dispositivos de red de forma escalable con la tecnología existente en redes cerradas con puntos de conexión de confianza. Para más información sobre SCEP, consulte Protocolo de inscripción de certificados simple RFC 8894.

Descripción del Protocolo de inscripción de certificados simple

SCEP es una solución al problema de habilitar dispositivos de red que no se ejecutan con credenciales de dominio para inscribir certificados x509 versión 3 desde una entidad de certificación. NDES proporciona cualquier dispositivo de red con una clave privada y un certificado asociado emitido por una entidad de certificación. Las aplicaciones del dispositivo pueden usar la clave y su certificado asociado para interactuar con otras entidades de la red. El uso más común de un certificado emitido por NDES en un dispositivo de red es la autenticación del dispositivo en una sesión de IPSec.

SCEP se desarrolló para poder emitir certificados de forma segura y escalable a dispositivos de red por medio de las entidades de certificación (CA) existentes. Este protocolo admite la distribución de claves públicas de entidades de certificación y de entidades de registro, la inscripción y revocación de certificados, y las consultas relativas a los certificados y a su revocación.

NDES realiza las funciones siguientes:

• Genera y proporciona contraseñas de inscripción de un solo uso a los administradores.

• Envía las solicitudes de inscripción a las entidades de certificación.

• Recupera los certificados inscritos de la CA y los reenvía al dispositivo de red.

NDES se implementa como una extensión de Internet Server API (ISAPI). Requiere que el rol Internet Information Services (IIS) esté instalado en el mismo equipo. No requiere que la entidad de certificación esté instalada en el mismo equipo. La extensión ISAPI se ejecuta en su propio grupo de aplicaciones, es decir, SCEP. Este grupo de aplicaciones se crea durante la instalación y se configura para ejecutarse con las credenciales proporcionadas durante la instalación.

La especificación SCEP no requiere que los dispositivos admitan TLS. Sin embargo, el proceso de recuperación de contraseña de un solo uso del servicio debe protegerse mediante TLS. El programa de instalación crea dos aplicaciones virtuales: una para el dispositivo y otra para el administrador.

• Ubicación de comunicación de los dispositivoshttps://<hostname>/certsrv/mscep
• Ubicación de recuperación de contraseñas de inscripción de administrador https://<hostname>/certsrv/mscep_admin

El servicio usa contraseñas para autenticar el dispositivo antes de reenviar su solicitud de inscripción a la entidad de certificación. Las contraseñas se obtienen mediante una llamada a la aplicación virtual de administración.

La inscripción de certificados mediante el servicio de inscripción de dispositivos de red es un proceso sencillo:

1. El dispositivo obtiene un par de claves públicas-privadas RSA del punto de conexión web /certsrv/mscep.

2. El administrador obtiene una contraseña del servicio de inscripción de dispositivos de red.

3. El administrador establece el dispositivo con contraseña y para que confíe en el punto de conexión web PKI /certserv/mscep_admin de empresa.

4. Dispositivo configurado para enviar la solicitud de inscripción a NDES.

5. NDES firma la solicitud de inscripción con el certificado del Agente de inscripción y la envía a la entidad de certificación.

6. La entidad de certificación emite el certificado.

7. El dispositivo recupera el certificado emitido de NDES.

Opciones de configuración de NDES

NDES se puede configurar para que se ejecute como cualquiera de las siguientes después de instalar el servicio de rol NDES:

• Como una cuenta de usuario especificada como una cuenta de servicio

• Como la identidad integrada del grupo de aplicaciones del equipo con Internet Information Services (IIS)

Pasos siguientes

Ahora que ha aprendido qué es NDES, estos artículos le ayudarán a configurar y ejecutar NDES correctamente.

• Configuración del servicio de inscripción de dispositivos de red para Servicios de certificados de Active Directory

• Si necesitas inscribir inalámbricamente dispositivos móviles, consulta el artículo sobre cómo usar un módulo de directivas con el Servicio de inscripción de dispositivos de red.