Active Directory 証明書サービスのネットワーク デバイス登録サービスとは

• 適用対象:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

ネットワーク デバイス登録サービス (NDES) は、Active Directory 証明書サービス (AD CS) の役割サービスの 1 つです。 NDES は登録機関として機能するため、これを使用すると、ドメイン資格情報なしで実行されているルーターやその他のネットワーク デバイス上のソフトウェアで Simple Certificate Enrollment Protocol (SCEP) に基づいて証明書を取得できるようになります。

SCEP は、ネットワーク デバイスと登録機関の間における証明書登録用の通信プロトコルを定義したものです。 信頼されたエンドポイントがある閉じたネットワーク内の既存のテクノロジを使用して、スケーラブルな方法で証明書をネットワーク デバイスに安全に発効できるようサポートしています。 SCEP の詳細については、「RFC 8894 Simple Certificate Enrollment Protocol」を参照してください。

ネットワーク デバイス登録サービスについて

SCEP は、ドメイン資格情報を使用して実行されていないネットワーク デバイスを、証明機関 (CA) から x509 のバージョン 3 証明書に登録できるようにするソリューションです。 NDES は、CA によって発行された秘密キーと関連する証明書をネットワーク デバイスに提供します。 デバイス上のアプリケーションはこのキーと関連する証明書を使用して、ネットワーク上の他のエンティティとやり取りができます。 ネットワーク デバイスにおける NDES 発行証明書の最も一般的な用途は、IPSec セッションでデバイスを認証することです。

SCEP は既存の証明機関 (CA) を使用してネットワーク デバイスに対するセキュリティで保護されたスケーラブルな証明書発行をサポートするために開発されました。 このプロトコルでは、CA および登録機関の公開キーの配布、登録、証明書失効のクエリがサポートされています。

NDES には次の機能があります。

• 1 回だけ有効な登録パスワードを生成して管理者に提供する。

• CA に登録要求を送信する。

• 登録された証明書を CA から取得し、ネットワーク デバイスに転送する。

NDES は、Internet Server API (ISAPI) の拡張機能として実装されます。 同じコンピューターに、インターネット インフォメーション サービス (IIS) の役割をインストールする必要があります。 CA を同じコンピューターにインストールする必要はありません。 ISAPI 拡張機能は、独自のアプリケーション プール (SCEP) で動作します。 このアプリケーション プールはセットアップ時に作成され、セットアップ時に指定された資格情報を使用して動作するように構成されます。

SCEP 仕様では、デバイスで TLS がサポートされている必要はありません。 ただし、1 回だけ有効なパスワードをサービスから取得するプロセスは、TLS を使用して保護する必要があります。 セットアップでは、デバイス用と管理者用の 2 つの仮想アプリケーションが作成されます。

• デバイスの通信場所 https://<hostname>/certsrv/mscep
• 管理者登録パスワードの取得場所 https://<hostname>/certsrv/mscep_admin

パスワードは、サービスが登録要求を CA に転送する前にデバイスを認証するために使用されます。 パスワードは、管理仮想アプリケーションに対する呼び出しによって取得されます。

ネットワーク デバイス登録サービスで証明書を登録するプロセスは、次のように簡単です。

1. デバイスが、/certsrv/mscep Web エンドポイントから RSA の公開キーと秘密キーのペアを取得します。

2. 管理者がネットワーク デバイス登録サービスからパスワードを取得します。

3. 管理者がパスワードを使用してデバイスを設定し、エンタープライズ PKI の /certserv/mscep_admin Web エンドポイントを信頼するようにデバイスを設定します。

4. NDES に登録要求を送信するようにデバイスが構成されます。

5. NDES が登録エージェント証明書を使用して登録要求に署名し、それを CA に送信します。

6. CA が証明書を発行します。

7. デバイスが、発行された証明書を NDES から取得します。

NDES 構成設定

NDES 役割サービスをインストールした後、NDES を次のいずれかとして実行するように構成できます。

• サービス アカウントとして指定されているユーザー アカウント

• インターネット インフォメーション サービス (IIS) コンピューターの組み込みアプリケーション プール ID

次のステップ

ここでは NDES の概要について学習しました。NDES を適切に構成して実行するのに役立つ記事をいくつか紹介します。

• Active Directory 証明書サービスのネットワーク デバイス登録サービスを構成する

• 無線によるモバイル デバイスの登録が必要な場合は、「ネットワーク デバイス登録サービスを使用したポリシー モジュールの使用」を参照してください。

• NDES の構成と操作の詳細については、「Active Directory 証明書サービス (AD CS) のネットワーク デバイス登録サービス (NDES)」を参照してください。