將「網路裝置註冊服務」設定為使用網域使用者帳戶
建議您設定 NDES 來指定使用者帳戶,這需要額外的步驟。 如果您選取內建應用程式集區身分識別,就不需要進行其他設定。
在本文中,了解如何設定「網路裝置註冊服務 (NDES)」以特定服務帳戶的形式執行。
NDES 可讓路由器和其他網路裝置依據「簡單憑證註冊通訊協定 (SCEP)」,在未使用網域認證的情況下,取得憑證。
SCEP 的開發目的是使用現有憑證授權單位 (CA) 來支援安全且可擴充的網路裝置憑證簽發。 該通訊協定支援 CA 和註冊中心公開金鑰分發、註冊和憑證撤銷查詢。
如需 NDES 及其如何使用「簡單憑證註冊通訊協定」來搭配憑證運作的詳細資訊,請參閱什麼是 Active Directory 憑證服務的網路裝置註冊服務?。
必要條件
安裝 Active Directory 憑證服務 (AD CS) 的 NDES 角色服務之後,請確認您符合下列必要條件:
必須是網域使用者帳戶。
必須是本機 IIS_IUSRS 群組的成員。
在設定的憑證授權單位 (CA) 上具備要求權限。
在 NDES 憑證範本上具備讀取和註冊權限 (這是自動設定的)。
如果您使用 CNAME 或負載平衡的網路名稱,請在 Active Directory 網域服務中設定服務主體名稱 (SPN)。
建立網域使用者帳戶來做為 NDES 服務帳戶
接著,您需要建立網域使用者帳戶來做為 NDES 服務帳戶。
登入已安裝 Active Directory 網域服務遠端伺服器管理工具的網域控制站或管理電腦。 使用具備新增使用者至網域之權限的帳戶開啟 [Active Directory 使用者和電腦] 。
在主控台樹狀目錄中展開結構,直到您看到您要在其中建立使用者帳戶的容器。 例如,某些組織有服務 OU 或類似的帳戶。 以滑鼠右鍵按一下容器,選取 [新增],然後選取 [使用者]。
在 [新增物件 - 使用者] 文字方塊中,針對所有欄位輸入適當的名稱,這表示您正在建立使用者帳戶。 請務必依照貴組織的服務帳戶建立原則執行 (如果有的話)。 例如,您可以輸入以下資訊,然後選取 [下一步]。
名字:Ndes
姓氏:服務
使用者登入名稱:NdesService
確定您已為帳戶設定複雜的密碼,然後確認密碼。 設定與貴組織服務帳戶有關之安全性原則相對應的密碼選項。 如果密碼有設定到期時間,您應設定密碼重設程序,以確保在所需的間隔時間內重設密碼。
選取 [下一步],然後選取 [完成]。
提示
您也可以使用 New-ADUser Windows PowerShell 命令來新增網域使用者帳戶。
視您的 Active Directory 網域服務 (AD DS) 設定而定,您可以為 NDES 實作受管理的服務帳戶或群組受管理的服務帳戶。 如需有關「受管理的服務帳戶」的詳細資訊,請參閱< 受管理的服務帳戶>。 如需有關「群組受管理的服務帳戶」的詳細資訊,請參閱< 群組受管理的服務帳戶概觀>。
將 NDES 服務帳戶新增至本機 IIS_IUSRS 群組
成功建立網域使用者帳戶作為 NDES 服務帳戶之後,您必須將此 NDES 服務帳戶新增至本機 IIS_IUSRS 群組。
在裝載 NDES 服務的伺服器上,開啟 [電腦管理] (compmgmt.msc)。
在 [電腦管理] 主控台樹狀目錄中的 [系統工具] 下,展開 [本機使用者和群組] 。 選取群組。
在詳細資料窗格中,選取 [IIS_IUSRS]。
在 [一般] 索引標籤中,選取 [新增] 。
在 [選取使用者、電腦、服務帳戶或群組] 文字方塊中,輸入您設定為服務帳戶之帳戶的使用者登入名稱。
選取 [檢查名稱],選取 [確定] ,然後關閉 [電腦管理]。
提示
您也可以使用 net localgroup IIS_IUSRS <domain>\<username> /Add,將 NDES 服務帳戶新增至本機 IIS_IUSRS 群組。 命令提示字元或 Windows PowerShell 必須以管理員身分執行。 如需詳細資訊,請參閱 Add-LocalGroupMember] PowerShell 命令。
設定 CA 的要求權限
NDES 服務帳戶需要要求 NDES 使用的 CA 權限。
在 NDES 要使用的 CA 中,以具備「管理 CA」權限的帳戶開啟 CA 主控台。
開啟 [憑證授權單位] 主控台。 以滑鼠右鍵按一下 CA,然後選取 [屬性]。
在 [安全性] 索引標籤上,您可以看到具備「要求憑證」權限的帳戶。 [已驗證的使用者] 群組預設具備此權限。 您建立的服務帳戶會在使用時成為 [已驗證的使用者] 的成員。 如果 [已驗證的使用者] 具備「要求憑證」權限,您就不需要授與更多權限。 但是,如果不是這樣,您就應該在 CA 中將「要求憑證」權限授與 NDES 服務帳戶。 若要這麼做︰
選取新增。
在 [選取使用者、 電腦、 服務帳戶或群組] 文字方塊中,輸入 NDES 服務帳戶的名稱,接著選取 [檢查名稱],然後選取 [確定]。
確定已選取 NDES 服務帳戶。 確定已選取和 [要求憑證] 相對應的 [允許] 核取方塊。 選取 [確定]。
確認是否需要為 NDES 設定服務主體名稱
如果您使用負載平衡器或虛擬名稱,則必須在 Active Directory 中設定服務主體名稱 (SPN)。 在本節中,了解如何判斷是否需要在 Active Directory 中設定 SPN。
如果您使用單一 NDES 伺服器及其實際主機名稱 (最常見的案例),則帳戶不需要註冊 SPN。 電腦帳戶預設的 SPN for HOST/computerFQDN 涵蓋此案例。 如果您使用所有其他預設值 (特別是在 IIS 核心模式驗證方面),您可以直接跳到本文的下一節。
如果您使用自訂 A 記錄作為主機名稱,或使用虛擬 IP 進行負載平衡,則必須針對 NDES 服務帳戶 (SCEPSvc) 註冊 SPN。 若要向 NDES 服務帳戶註冊 SPN:
輸入命令時,請使用 Setspn 命令語法:
Setspn -s HTTP/<computerfqdn> <domainname\accountname>。 例如,您的網域是Fabrikam.com、您的 NDES CNAME 是NDESFARM,而您使用的服務帳戶名為SCEPSvc。 在此範例中,您會執行下列命令。Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvcSetspn -s HTTP/NDESFARM fabrikam\SCEPSvc
然後停用網站的 IIS 核心模式驗證。
設定 NDES 角色服務
安裝完成之後,您必須執行幾個步驟來完成 NDES 電腦的設定。
如果 NDES 已安裝在 CA 上,您就不需要選取 CA,因為已使用本機 CA。
當您將 NDES 安裝在不是 CA 的電腦上時,您必須選取目標 CA。 您可以使用 CA 名稱或根據電腦名稱選取 CA。
若要選取 CA:
從伺服器管理員開啟 AD CS 設定。
選取 [NDES 的 CA]
選取 [CA 名稱] 或 [電腦名稱],然後選取 [選取]。
您選擇的選項會決定下一個顯示之對話方塊的類型:
如果您是按一下 [CA名稱],將會看到 [選取憑證授權單位] 對話方塊,其中有可供您選擇 CA 的 CA 清單。
或
如果您是按一下 [電腦名稱] ,則會看到 [選取電腦] 對話方塊,您可以在該對話方塊中設定 [位置] 並輸入您要指定為 CA 的電腦名稱。
您現在已準備好完成 NDES 角色服務的設定。 其餘步驟是驗證註冊授權單位資訊及設定密碼編譯。
登錄授權單位 (RA) 資訊將用來建構簽發給服務的簽署憑證。 在伺服器管理員中。 選取 RA 資訊。
檢查所有欄位,並確認 RA 資訊正確 (或設定為預設值)。
NDES 會使用兩個憑證與其金鑰來啟用裝置註冊。 組織可以使用不同的密碼編譯服務服務提供者 (CSP) 來儲存這些金鑰,或變更服務所使用之金鑰的長度。 對於 RA 金鑰,只支援密碼編譯應用程式開發介面 (CryptoAPI) 服務提供者,不支援密碼編譯 API:新一代 (CNG) 提供者。
若要設定密碼編譯,請在 [伺服器管理員] 中,選取 [NDES 的密碼編譯]。
輸入簽章金鑰提供者和/或加密金鑰提供者的值,並決定金鑰長度值。
繼續執行精靈以完成 NDES 的安裝。
現在,您已設定角色服務,如需 NDES 設定和作業的詳細資訊,請參閱 Active Directory 憑證服務 (AD CS) 中的「網路裝置註冊服務」(NDES)。
提示
如果您對 NDES 或 NDES 使用之憑證進行設定變更,您必須停止並重新啟動 NDES、IIS 和 CA 服務。