Configurare il servizio Registrazione dispositivi di rete per l'uso di un account utente di dominio
È consigliabile configurare lo SCEP per specificare un account utente; sono richiesti passaggi aggiuntivi. Se si seleziona l'identità incorporata del pool di applicazioni, non sono necessarie altre configurazioni.
Questo articolo illustra come configurare il servizio Registrazione dispositivi di rete (SCEP) per l'esecuzione come account del servizio specificato.
Il servizio Registrazione dispositivi di rete consente ai router e ad altri dispositivi di rete di ottenere certificati basati sul servizio Registrazione dispositivi di rete (SCEP) senza usare le credenziali di dominio.
Il protocollo SCEP è stato sviluppato per supportare il rilascio sicuro e scalabile di certificati a dispositivi di rete tramite autorità di certificazione (CA) esistenti. Il protocollo supporta la distribuzione delle chiavi pubbliche delle autorità di certificazione e delle autorità di registrazione, la registrazione e la richiesta di revoca dei certificati.
Per altre informazioni su SCEP e su come funzionano i certificati basati sul servizio Registrazione dispositivi di rete, vedere Cos'è il servizio Registrazione dispositivi di rete per i Servizi certificati Active Directory?.
Prerequisiti
Dopo aver installato il servizio ruolo Registrazione dispositivi di rete per Servizi certificati Active Directory, verificare di soddisfare i prerequisiti seguenti:
Essere un account utente di dominio
Essere un membro del gruppo IIS_IUSRS locale
Disporre delle autorizzazioni di richiesta per l'autorità di certificazione (CA) configurata.
Avere le autorizzazioni Lettura e Registrazione per il modello di certificato del servizio Registrazione dispositivi di rete, che è configurato automaticamente
Se si usa un nome di rete CNAME o con carico bilanciato, configurare un nome dell'entità servizio (SPN) in Servizi di dominio Active Directory.
Creare un account utente di dominio che funga da account del servizio per il servizio Registrazione dispositivi di rete
Successivamente, è necessario creare un account utente di dominio che funga da account del servizio per il servizio Registrazione dispositivi di rete
Accedere al controller di dominio o al computer amministrativo in cui sono installati gli Strumenti di amministrazione remota del server di Servizi di dominio Active Directory. Aprire Utenti e computer di Active Directory usando un account con le autorizzazioni per l'aggiunta di utenti al dominio.
Nell'albero della console espandere la struttura fino a quando non viene visualizzato il contenitore in cui si vuole creare l'account utente. Alcune organizzazioni hanno ad esempio un account Services OU o simile. Fare clic con il pulsante destro del mouse sul contenitore, scegliere Nuovo e quindi Utente.
Nelle caselle di testo in Nuovo oggetto - Utente immettere i nomi appropriati per tutti i campi per specificare che si sta creando un account utente. Assicurarsi di seguire i criteri aziendali per la creazione di un account del servizio, se disponibili. Ad esempio, compilare i campi seguenti e selezionare Avanti.
Nome: Ndes
Cognome: Service
Nome di accesso utente: NdesService
Impostare una password complessa per l'account e confermarla. Configurare le opzioni relative alla password in base ai criteri di sicurezza aziendali relativi agli account del servizio. Se è stata configurata una scadenza per la password, è necessario implementare un processo per garantire che la password venga reimpostata alle scadenze previste.
Selezionare Avanti e quindi Fine.
Suggerimento
È anche possibile usare il comando New-ADUser di Windows PowerShell per aggiungere un account utente di dominio.
A seconda della configurazione di Servizi di dominio Active Directory, potrebbe essere possibile implementare un account del servizio gestito o un account del servizio gestito del gruppo per il servizio Registrazione dispositivi di rete. Per altre informazioni sugli account del servizio gestiti, vedere Account del servizio gestiti. Per altre informazioni sugli account del servizio gestiti del gruppo, vedere Panoramica degli account del servizio gestiti del gruppo.
Aggiungere l'account del servizio per il servizio Registrazione dispositivi di rete al gruppo IIS_IUSERS locale
Dopo aver creato un account utente di dominio come account del servizio SCEP, è necessario aggiungere questo account del servizio SCEP al gruppo di IIS_IUSRS locale.
Nel server in cui è ospitato il servizio Registrazione dispositivi di rete aprire Gestione computer (compmgmt.msc).
Nell'albero della console di Gestione computer, in Utilità di sistemaespandere Utenti e gruppi locali. Seleziona Gruppi.
Nel riquadro dei dettagli selezionare IIS_IUSRS.
Nella scheda Generale selezionare Aggiungi.
Nella casella di testo Seleziona utenti, computer, account servizio o gruppi digitare il nome di accesso utente per l'account configurato come account del servizio.
Selezionare Controlla nomi, quindi due volte OK e infine chiudere Gestione computer.
Suggerimento
È anche possibile usare net localgroup IIS_IUSRS <domain>\<username> /Add
per aggiungere l'account del servizio Registrazione dispositivi di rete al gruppo IIS_IUSERS locale. Il prompt dei comandi o Windows PowerShell deve essere eseguito come amministratore. Per altre informazioni, vedere il comando PowerShell Add-LocalGroupMember].
Configurare l'autorizzazione richiesta per la CA
Gli account del servizio Registrazione dispositivi di rete devono richiedere l'autorizzazione per la CA che deve essere usata dal servizio Registrazione dispositivi di rete.
Nella CA da usare per il servizio Registrazione dispositivi di rete aprire la console CA con un account con autorizzazioni Gestione CA.
Aprire la console Autorità di certificazione. Fare clic con il pulsante destro del mouse sulla CA e quindi scegliere Proprietà.
Nella scheda Sicurezza è possibile visualizzare gli account con autorizzazioni Richiesta certificati. Il gruppo Authenticated Users dispone di questa autorizzazione per impostazione predefinita. Quando è in uso, l'account del servizio creato sarà un membro del gruppo Utenti autenticati. Se il gruppo Utenti autenticati dispone dell'autorizzazione Richiesta certificati, non è necessario concedere autorizzazioni aggiuntive. In caso contrario, sarà necessario concedere all'account del servizio per lo SCEP l'autorizzazione Richiesta certificati per la CA. A questo scopo:
Selezionare Aggiungi.
Nella casella di testo Seleziona utenti, computer, account servizio o gruppi digitare il nome dell'account del servizio per il servizio Registrazione dispositivi di rete, selezionare su Controlla nomi e quindi OK.
Verificare che l'account del servizio per il servizio Registrazione dispositivi di rete sia selezionato. Verificare che la casella di controllo Consenti corrispondente a Richiesta certificati sia selezionata. Selezionare OK.
Verificare se è necessario impostare un nome dell'entità servizio per lo SCEP
È necessario configurare un nome dell'entità servizio (SPN) in Active Directory se si usa un servizio di bilanciamento del carico o un nome virtuale. In questa sezione viene descritto come determinare se è necessario impostare un nome SPN in Active Directory.
Se si usa un singolo server SCEP e il relativo nome host effettivo (scenario più comune), l'account non necessita di un nome SPN registrato. Gli SPN predefiniti degli account computer per HOST/computerFQDN coprono questo caso. Se si usano tutte le altre impostazioni predefinite (in particolare per l'autenticazione in modalità kernel IIS), è possibile passare alla sezione successiva di questo articolo.
Se si usa un record A personalizzato come nome host o il bilanciamento del carico con un indirizzo IP virtuale, è necessario registrare un nome SPN nell'account del servizio SCEP (SCEPSvc). Per registrare un nome SPN nell'account del servizio SCEP:
Usare la sintassi del comando Setspn di:
Setspn -s HTTP/<computerfqdn> <domainname\accountname>
quando si immettono i comandi. Ad esempio, il dominio èFabrikam.com
, il CNAME SCEP èNDESFARM
e si usa un account del servizio denominatoSCEPSvc
. Nell'esempio si eseguirebbero i comandi seguenti.Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvc
Setspn -s HTTP/NDESFARM fabrikam\SCEPSvc
Disabilitare quindi l'autenticazione in modalità kernel IIS per il sito.
Configurare il servizio ruolo SCEP
Al termine dell'installazione, è necessario eseguire alcuni passaggi per completare la configurazione del computer SCEP.
Se il servizio Registrazione dispositivi di rete è installato in una CA, non è possibile selezionare la CA perché viene usata quella locale.
Se si installa il servizio Registrazione dispositivi di rete in un computer che non è una CA, è necessario selezionare la CA di destinazione. È possibile selezionare la CA in base al nome della CA o in base al nome del computer.
Per selezionare la CA:
Aprire Configurazione di Servizi certificati Active Directory da Server Manager.
Selezionare l'autorità di CA per SCEP
Selezionare Nome CA o Nome computer e quindi selezionare Seleziona.
L'opzione che si sceglie determina il tipo di finestra di dialogo che verrà presentata successivamente:
Se si è scelto Nome CA, verrà visualizzata la finestra di dialogo Seleziona Autorità di certificazione con l'elenco delle CA disponibili per la selezione.
oppure
Se si è scelto Nome computer, verrà visualizzata la finestra di dialogo Seleziona computer in cui è possibile impostare i Percorsi e immettere il nome del computer che si vuole specificare come CA.
A questo punto è possibile completare la configurazione del servizio ruolo SCEP. I passaggi rimanenti verificano le informazioni sull'autorità di registrazione e configurano la crittografia.
Le informazioni sull'autorità di registrazione (RA) fornite vengono usate per costruire il certificato di firma rilasciato al servizio. In Server Manager. Selezionare Informazioni di autorità di registrazione.
Controllare tutti i campi e verificare che le informazioni sull'archiviazione con ridondanza geografica siano corrette (o siano impostate sulle impostazioni predefinite).
Il servizio Registrazione dispositivi di rete usa due certificati e le relative chiavi per abilitare la registrazione del dispositivo. Le organizzazioni possono usare provider del servizio di crittografia (CSP) diversi per archiviare queste chiavi o modificare la lunghezza delle chiavi usate dal servizio. Per le chiavi di Informazioni Autorità di registrazione sono supportati solo i provider del servizio CryptoAPI (Cryptographic Application Programming Interface). I provider del servizio API Cryptography; Next Generation (CNG) non sono supportati.
Per configurare la crittografia, in Server Manager selezionare Crittografia per SCEP.
Immettere i valori per Provider di chiavi di firma e/o Provider di chiavi di crittografia e decidere i valori di lunghezza della chiave.
Continuare con la procedura guidata per completare l'installazione di SCEP.
Dopo aver configurato il servizio ruolo, è possibile ottenere informazioni dettagliate sulla configurazione e sull'operazione SCEP consultando Servizio Registrazione dispositivi di rete (SCEP) in Servizi certificati Active Directory (AD CS).
Suggerimento
Se si apportano modifiche di configurazione per Registrazione dispositivi di rete o ai modelli di certificato usati da Registrazione dispositivi di rete, è necessario arrestare e riavviare Registrazione dispositivi di rete, IIS e il servizio CA.