Vad är registreringstjänsten för nätverksenheter för Active Directory Certificate Services?
Registreringstjänsten för nätverksenheter (NDES) är en av rolltjänsterna för Active Directory Certificate Services (AD CS). NDES fungerar som registreringsutfärdare för att aktivera programvaran på routrar och andra nätverksenheter som körs utan domänautentiseringsuppgifter för att hämta certifikat baserat på SCEP (Simple Certificate Enrollment Protocol).
SCEP definierar kommunikationsprotokollet mellan nätverksenheter och en registreringsutfärdare för certifikatregistrering. Den strävar efter att stödja säker utfärdande av certifikat till nätverksenheter på ett skalbart sätt med hjälp av befintlig teknik i stängda nätverk med betrodda slutpunkter. Mer information om SCEP finns i RFC 8894 Simple Certificate Enrollment Protocol.
Förstå registreringstjänsten för nätverksenheter
SCEP är en lösning på problemet med att aktivera nätverksenheter som inte körs med domänautentiseringsuppgifter för att registrera sig för x509 version 3-certifikat från en certifikatutfärdare (CA). NDES tillhandahåller alla nätverksenheter med en privat nyckel och tillhörande certifikat som utfärdats av en certifikatutfärdare. Program på enheten kan använda nyckeln och dess associerade certifikat för att interagera med andra entiteter i nätverket. Den vanligaste användningen av ett NDES-utfärdat certifikat på en nätverksenhet är att autentisera enheten i en IPSec-session.
SCEP har utvecklats för att stödja säker, skalbar utfärdande av certifikat till nätverksenheter med hjälp av befintliga certifikatutfärdare (CA). Protokollet stöder distribution av offentliga nycklar för certifikatutfärdare och registreringsmyndigheter, registrering och förfrågningar om återkallande av certifikat.
NDES utför följande funktioner:
Genererar och tillhandahåller engångsregistreringslösenord till administratörer.
Skickar registreringsbegäranden till CA:en.
Hämtar registrerade certifikat från certifikatutfärdaren och vidarebefordrar dem till nätverksenheten.
NDES implementeras som ett ISAPI-tillägg (Internet Server API). Det kräver att IIS-rollen (Internet Information Services) installeras på samma dator. Det kräver inte att ca:en installeras på samma dator. ISAPI-tillägget körs i en egen programpool, dvs. SCEP. Den här programpoolen skapas under installationen och är konfigurerad att köras med de autentiseringsuppgifter som angavs under installationen.
SCEP-specifikationen kräver inte att enheter stöder TLS. Processen för att hämta ett engångslösenord från tjänsten bör dock skyddas med hjälp av TLS. Installationen skapar två virtuella program – ett för enheten och ett för administratören.
- Enheters kommunikationsplats
https://<hostname>/certsrv/mscep
- Plats för hämtning av lösenord för administratörsregistrering
https://<hostname>/certsrv/mscep_admin
Lösenord används av tjänsten för att autentisera enheten innan den vidarebefordrar sin registreringsbegäran till certifikatutfärdare. Lösenord hämtas via ett anrop till det virtuella administrationsprogrammet.
Att registrera certifikat via registreringstjänsten för nätverksenheter är en enkel process:
Enheten hämtar ett offentlig-privat RSA-nyckelpar från /certsrv/mscep webbslutpunkt.
Administratören hämtar ett lösenord från registreringstjänsten för nätverksenheter.
Administratören anger enheten med lösenord och anger att den ska lita på företagets PKI-/certserv/mscep_admin webbslutpunkt.
Enheten har konfigurerats för att skicka registreringsbegäran till NDES.
NDES signerar registreringsbegäran med registreringsagentcertifikatet och skickar den till certifikatutfärdare.
Certifikatmyndigheten utfärdar certifikatet.
Enheten hämtar utfärdat certifikat från NDES.
Konfigurationsinställningar för NDES
NDES kan konfigureras att köras som något av följande efter installationen av NDES-rolltjänsten:
Ett användarkonto som anges som ett tjänstkonto
Den inbyggda programpoolsidentiteten för IIS-datorn (Internet Information Services)
Nästa steg
Nu när du har lärt dig om vad NDES finns här finns några artiklar som hjälper dig att konfigurera och köra NDES.
Konfigurera registreringstjänsten för nätverksenheter för Active Directory Certificate Services
Om du behöver trådlös registrering för mobila enheter kan du läsa Använda en policymodul med registreringstjänsten för nätverksenheter.