Wat is registratieservice voor netwerkapparaten voor Active Directory Certificate Services?

• Van toepassing op:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

De Registratieservice voor netwerkapparaten (NDES) is een van de functieservices van Active Directory Certificate Services (AD CS). NDES fungeert als een registratie-instantie om de software op routers en andere netwerkapparaten die zonder domeinreferenties worden uitgevoerd, in staat te stellen certificaten op te halen op basis van het Simple Certificate Enrollment Protocol (SCEP).

SCEP definieert het communicatieprotocol tussen netwerkapparaten en een registratie-instantie voor certificaatinschrijving. Het streeft ernaar om de veilige uitgifte van certificaten op een schaalbare manier te ondersteunen met behulp van bestaande technologie in gesloten netwerken met vertrouwde eindpunten. Zie RFC 8894 Simple Certificate Enrollment Protocolvoor meer informatie over SCEP.

Informatie over de registratieservice voor netwerkapparaten

SCEP is een oplossing voor het probleem om netwerkapparaten die niet met domeinreferenties werken, te laten registreren voor x509 versie 3-certificaten bij een certificeringsinstantie (CA). NDES biedt elk netwerkapparaat een persoonlijke sleutel en het bijbehorende certificaat dat is uitgegeven door een CA. Toepassingen op het apparaat kunnen de sleutel en het bijbehorende certificaat gebruiken om te communiceren met andere entiteiten in het netwerk. Het meest voorkomende gebruik van een door NDES uitgegeven certificaat op een netwerkapparaat is het verifiëren van het apparaat in een IPSec-sessie.

SCEP is ontwikkeld ter ondersteuning van de veilige, schaalbare uitgifte van certificaten aan netwerkapparaten met behulp van bestaande certificeringsinstanties (CA's). Het protocol biedt ondersteuning voor distributie van openbare sleutels, inschrijvings- en certificaatintrekkingsquery's voor CA en registratie-instanties.

NDES voert de volgende functies uit:

• Hiermee worden eenmalige inschrijvingswachtwoorden voor beheerders gegenereerd en verstrekt.

• Inschrijvingsaanvragen worden naar de CA verzonden.

• Haalt geregistreerde certificaten van de CA op en stuurt deze door naar het netwerkapparaat.

NDES wordt geïmplementeerd als een ISAPI-extensie (Internet Server API). Hiervoor moet de IIS-rol (Internet Information Services) op dezelfde computer worden geïnstalleerd. Hiervoor hoeft de CA niet op dezelfde computer te worden geïnstalleerd. De ISAPI-extensie wordt uitgevoerd in een eigen toepassingsgroep, dat wil zeggen SCEP. Deze groep van toepassingen wordt gemaakt tijdens de installatie en is geconfigureerd voor uitvoering met de referenties die tijdens de installatie zijn opgegeven.

De SCEP-specificatie vereist geen ondersteuning voor TLS. Het proces voor het ophalen van een eenmalig wachtwoord van de service moet echter worden beveiligd met behulp van TLS. Met Setup worden twee virtuele toepassingen gemaakt: één voor het apparaat en één voor de beheerder.

• Communicatielocatie voor apparatenhttps://<hostname>/certsrv/mscep
• Locatie voor het ophalen van wachtwoord voor beheerdersregistratie https://<hostname>/certsrv/mscep_admin

Wachtwoorden worden door de service gebruikt om het apparaat te verifiëren voordat de inschrijvingsaanvraag naar de CA wordt doorgestuurd. Wachtwoorden worden verkregen via een aanroep van de virtuele beheertoepassing.

Het inschrijven van certificaten via de registratieservice voor netwerkapparaten is een eenvoudig proces:

1. Het apparaat verkrijgt een openbaar persoonlijk RSA-sleutelpaar van het /certsrv/mscep webeindpunt.

2. De beheerder verkrijgt een wachtwoord van de registratieservice voor netwerkapparaten.

3. Beheerder stelt het apparaat in met een wachtwoord en stelt het in om het zakelijke PKI-/certserv/mscep_admin-webeindpunt te vertrouwen.

4. Apparaat dat is geconfigureerd voor het verzenden van een inschrijvingsaanvraag naar NDES.

5. NDES ondertekent de inschrijvingsaanvraag met het inschrijvingsagentcertificaat en verzendt deze naar de CA.

6. Ca geeft het certificaat uit.

7. Het apparaat haalt het uitgegeven certificaat op uit NDES.

NDES-configuratie-instellingen

NDES kan worden geconfigureerd om te worden uitgevoerd als een van de volgende na de installatie van de NDES-functieservice:

• Een gebruikersaccount dat is opgegeven als een serviceaccount

• De ingebouwde identiteit van de groep van toepassingen van de IIS-computer (Internet Information Services)

Volgende stappen

Nu u hebt geleerd wat NDES hier is, vindt u enkele artikelen waarmee u NDES kunt configureren en uitvoeren.

• Registratieservice voor netwerkapparaten configureren voor Active Directory Certificate Services-

• Zie Een beleidsmodule gebruiken met de registratieservice voor netwerkapparatenals u over-the-air-inschrijvingen voor mobiele apparaten nodig hebt.