Qu’est-ce que le service d’inscription d’appareil réseau pour les services de certificats Active Directory ?
Le service d’inscription d’appareil réseau (NDES) est un des services de rôle des services de certificats Active Directory (AD CS). NDES fait office d’autorité d’inscription pour permettre aux logiciels des routeurs et d’autres appareils réseau s’exécutant sans informations d’identification de domaine d’obtenir des certificats basés sur le protocole d’inscription de certificats simples (SCEP).
SCEP définit le protocole de communication entre les appareils réseau et une autorité d’inscription pour l’inscription de certificats. Il s’efforce de prendre en charge l’émission sécurisée de certificats vers les appareils réseau de manière scalable, en utilisant la technologie existante dans des réseaux fermés avec des points de terminaison approuvés. Pour plus d’informations sur SCEP, consultez RFC 8894 Protocole d’inscription de certificats simple.
Présentation du service d’inscription d’appareil réseau
SCEP est une solution au problème des appareils réseau qui ne s’exécutent pas avec des informations d’identification de domaine et qui doivent obtenir des certificats x509 version 3 auprès d’une autorité de certification. NDES fournit à tout appareil réseau une clé privée et un certificat associé émis par une autorité de certification. Les applications sur l’appareil peuvent utiliser la clé et le certificat associé pour interagir avec d’autres entités sur le réseau. L’utilisation la plus courante d’un certificat émis par NDES sur un appareil réseau est l’authentification de l’appareil dans une session IPSec.
Le protocole d'inscription du certificat simple a été développé pour prendre en charge l'émission sécurisée et évolutive de certificats sur les périphériques réseau à l'aide des autorités de certification existantes. Le protocole prend en charge la distribution de clé publique de l’autorité de certification et de l’autorité d’inscription, et les requêtes d’inscription et de révocation de certificat.
NDES exécute les fonctions suivantes :
Génère et fournit aux administrateurs des mots de passe d’inscription à usage unique.
Envoie les demandes d’inscription à l’autorité de certification.
Récupère les certificats inscrits auprès de l’autorité de certification et les transmet à l’appareil réseau.
NDES est implémenté sous forme d’extension ISAPI (Internet Server API). Le rôle Internet Information Services (IIS) doit être installé sur le même ordinateur. L’autorité de certification n’a pas besoin d’être installée sur le même ordinateur. L’extension ISAPI s’exécute dans son propre pool d’applications, c’est-à-dire SCEP. Ce pool d’applications est créé pendant l’installation et est configuré pour s’exécuter avec les informations d’identification fournies pendant l’installation.
La spécification SCEP n’a pas besoin que les appareils prennent en charge TLS. Toutefois, le processus de récupération d’un mot de passe à usage unique à partir du service doit être protégé avec TLS. Le programme d’installation crée deux applications virtuelles : une pour l’appareil et une pour l’administrateur.
- Emplacement de communication des appareils
https://<hostname>/certsrv/mscep
- Emplacement de récupération du mot de passe d’inscription de l’administrateur
https://<hostname>/certsrv/mscep_admin
Les mots de passe sont utilisés par le service pour authentifier l’appareil avant de transférer sa demande d’inscription à l’autorité de certification. Les mots de passe sont obtenus par un appel à l’application virtuelle d’administration.
L’inscription de certificats avec le service d’inscription d’appareil réseau est un processus simple :
L’appareil obtient une paire de clés publique/privée RSA à partir du point de terminaison web /certsrv/mscep.
L’administrateur obtient un mot de passe du service d’inscription d’appareil réseau.
L’administrateur définit l’appareil avec le mot de passe et le définit pour qu’il approuve le point de terminaison web PKI d’entreprise /certserv/mscep_admin.
Appareil configuré pour envoyer une demande d’inscription à NDES.
NDES signe la demande d’inscription avec le certificat de l’agent d’inscription et l’envoie à l’autorité de certification.
L’autorité de certification émet le certificat.
L’appareil récupère le certificat émis à partir de NDES.
Paramètres de configuration du service NDES
NDES peut être configuré pour s’exécuter comme l’un des éléments suivants après l’installation du service de rôle NDES :
un compte d'utilisateur spécifié comme compte de service ;
l'identité du pool d'applications intégré de l'ordinateur Internet Information Services (IIS).
Étapes suivantes
Maintenant que vous avez découvert NDES, voici quelques articles pour vous aider à configurer et à exécuter NDES.
Si vous exigez une inscription via une connexion sans fil pour les appareils mobiles, consultez Utilisation d'un module de stratégie avec le service d'inscription de périphérique réseau.
Pour des informations détaillées sur la configuration et le fonctionnement de NDES, consultez Service d’inscription d’appareil réseau (NDES) dans les services de certificats Active Directory (AD CS).