Co to jest usługa rejestracji urządzeń sieciowych dla usług certyfikatów Active Directory?

• Dotyczy:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Usługa rejestracji urządzeń sieciowych (NDES) jest jedną z usług ról usług certyfikatów Active Directory (AD CS). Usługa NDES działa jako urząd rejestracyjny, aby umożliwić oprogramowanie na routerach i innych urządzeniach sieciowych działającym bez poświadczeń domenowych uzyskanie certyfikatów na podstawie Prostego Protokołu Rejestrowania Certyfikatów (SCEP).

Protokół SCEP definiuje protokół komunikacyjny między urządzeniami sieciowymi a urzędem rejestracji na potrzeby rejestracji certyfikatów. Dąży do zapewnienia obsługi bezpiecznego wystawiania certyfikatów na urządzeniach sieciowych w sposób skalowalny przy użyciu istniejącej technologii w zamkniętych sieciach z zaufanymi punktami końcowymi. Aby uzyskać więcej informacji na temat protokołu SCEP, zobacz RFC 8894 Simple Certificate Enrollment Protocol.

Opis usługi rejestracji urządzeń sieciowych

SCEP jest rozwiązaniem problemu umożliwiania urządzeniom sieciowym, które nie działają z poświadczeniami domeny, rejestrowania certyfikatów x509 wersji 3 z urzędu certyfikacji (CA). Usługa NDES udostępnia dowolne urządzenie sieciowe z kluczem prywatnym i skojarzonym certyfikatem wystawionym przez urząd certyfikacji. Aplikacje na urządzeniu mogą używać klucza i skojarzonego certyfikatu do interakcji z innymi jednostkami w sieci. Najczęstszym zastosowaniem certyfikatu wystawionego przez usługę NDES na urządzeniu sieciowym jest uwierzytelnianie urządzenia w sesji protokołu IPSec.

Protokół SCEP został opracowany w celu obsługi bezpiecznego, skalowalnego wystawiania certyfikatów na urządzeniach sieciowych przy użyciu istniejących urzędów certyfikacji. Protokół obsługuje dystrybucję kluczy publicznych urzędu certyfikacji (CA) i urzędu rejestracji (RA), rejestrację oraz zapytania o unieważnienie certyfikatów.

Usługa NDES wykonuje następujące funkcje:

• Generuje i udostępnia jednorazowe hasła rejestracji administratorom.

• Przesyła wnioski rejestracyjne do CA.

• Pobiera zarejestrowane certyfikaty z urzędu certyfikacji i przekazuje je do urządzenia sieciowego.

Usługa NDES jest implementowana jako rozszerzenie Internet Server API (ISAPI). Wymaga ona zainstalowania roli Internet Information Services (IIS) na tym samym komputerze. Nie wymaga zainstalowania centrum certyfikacji na tym samym komputerze. Rozszerzenie ISAPI działa we własnej puli aplikacji, czyli SCEP. Ta pula aplikacji jest tworzona podczas instalacji i jest skonfigurowana do uruchamiania przy użyciu poświadczeń podanych podczas instalacji.

Specyfikacja protokołu SCEP nie wymaga, aby urządzenia obsługiwały protokół TLS. Jednak proces pobierania jednorazowego hasła z usługi powinien być chroniony przy użyciu protokołu TLS. Instalator tworzy dwie aplikacje wirtualne — jedną dla urządzenia i jedną dla administratora.

• Lokalizacja komunikacji urządzeńhttps://<hostname>/certsrv/mscep
• Lokalizacja pobierania hasła rejestracji administratora https://<hostname>/certsrv/mscep_admin

Hasła są używane przez usługę do uwierzytelniania urządzenia przed przekazaniem żądania rejestracji do urzędu certyfikacji. Hasła są uzyskiwane za pośrednictwem wywołania aplikacji wirtualnej administracji.

Rejestrowanie certyfikatów za pośrednictwem usługi rejestracji urządzeń sieciowych jest prostym procesem:

1. Urządzenie uzyskuje parę kluczy publicznych-prywatnych RSA z /certsrv/mscep internetowego punktu końcowego.

2. Administrator uzyskuje hasło z usługi rejestracji urządzeń sieciowych.

3. Administrator konfiguruje urządzenie przy użyciu hasła i konfiguruje je, aby ufało przedsiębiorstwowej infrastrukturze PKI /certserv/mscep_admin webowego punktu końcowego.

4. Urządzenie skonfigurowane do wysyłania żądania rejestracji do usługi NDES.

5. Usługa NDES podpisuje przy użyciu certyfikatu agenta rejestracji żądanie rejestracji i wysyła je do urzędu certyfikacji.

6. Urząd certyfikacji wystawia certyfikat.

7. Urządzenie pobiera wystawiony certyfikat z usługi NDES.

Ustawienia konfiguracji usługi NDES

Usługę NDES można skonfigurować do działania jako jedną z następujących opcji po zainstalowaniu roli NDES:

• Konto użytkownika określone jako konto usługi

• Domyślna tożsamość puli aplikacji dla komputera z usługą Internet Information Services (IIS)

Następne kroki

Teraz, gdy wiesz już, co to jest usługa NDES, to kilka artykułów, które pomogą Ci skonfigurować i uruchomić usługę NDES pomyślnie.

• Konfigurowanie usługi rejestracji urządzeń sieciowych dla usług certyfikatów Active Directory

• Jeśli wymagana jest zdalna rejestracja urządzeń przenośnych, zobacz Używanie modułu zasad z usługą rejestracji urządzeń sieciowych(Używanie modułu zasad z usługą rejestracji urządzeń sieciowych).