Configurar o Serviço de Registro de Dispositivo de Rede para usar uma conta de usuário de domínio
É recomendável que você configure o NDES para especificar uma conta de usuário, o que exige etapas adicionais. Se você selecionar a identidade de pools de aplicativos integrados, nenhuma configuração adicional será necessária.
Neste artigo, saiba como configurar o NDES (Serviço de Registro de Dispositivo de Rede) para ser executado como uma conta de serviço especificada.
O NDES permite que roteadores e outros dispositivos de rede obtenham certificados com base no protocolo SCEP sem usar credenciais de domínio.
O protocolo SCEP foi desenvolvido para dar suporte à emissão segura e escalonável de certificados para dispositivos de rede usando CAs (autoridades de certificação) existentes. O protocolo dá suporte à distribuição de CA e de chave pública de autoridade de registro, registro e consultas de revogação de certificado.
Para obter mais informações sobre o NDES e como ele funciona com certificados baseados no uso do protocolo SCEP, consulte O que é o Serviço de Registro de Dispositivo de Rede para Serviços de Certificados do Active Directory?.
Pré-requisitos
Depois de instalar o serviço de função do NDES para o AD CS (Serviços de Certificados do Active Directory), verifique se você atende aos seguintes pré-requisitos:
Ser uma conta de usuário do domínio.
Ser um membro do grupo local IIS_IUSRS.
Tenha permissões de Solicitação na CA (Autoridade de Certificação) configurada.
Tenha permissões de leitura e de registro no modelo do certificado de NDES, o que é configurado automaticamente.
Se você estiver usando um CNAME ou um nome de rede com balanceamento de carga, configure um SPN (nome da entidade de serviço) no Active Directory Domain Services.
Criar uma conta de usuário de domínio para agir como a conta de serviço de NDES
Depois, você precisa criar uma conta de usuário de domínio como a conta de serviço de NDES.
Entrar no controlador de domínio ou computador administrativo com as Ferramentas de Administração de Servidor Remoto dos Serviços de Domínio Active Directory instaladas. Abra Usuários e computadores do Active Directory usando uma conta com permissão para adicionar usuários ao domínio.
Na árvore do console, expanda a estrutura até ver o contêiner onde você deseja criar a conta de usuário. Por exemplo, algumas organizações possuem Serviços de UO ou uma conta semelhante. Clique com o botão direito do mouse no contêiner, selecione Novo e Usuário.
Nas caixas de texto Novo Objeto – Usuário, digite os nomes apropriados para todos os campos para deixar claro que uma conta de usuário está sendo criada. Sempre siga as políticas da sua organização para a criação de contas, caso existam. Como exemplo, você poderia digitar o conteúdo a seguir e depois clicar em Avançar.
Nome: Ndes
Sobrenome: Serviço
Nome de logon do usuário: NdesService
Você deverá definir e confirmar uma senha complexa para a conta. Configure as opções de senha adequadas conforme as políticas de segurança da sua organização com relação a contas de serviço. Se a senha for configurada para expirar, deverá existir um processo para redefinir a senha nos intervalos requeridos.
Selecione Avançar e Concluído.
Dica
Você também pode usar o comando do Windows PowerShell New-ADUser para adicionar uma conta de usuário de domínio.
Dependendo da configuração do AD DS, você poderá implementar uma Conta de Serviço Gerenciado ou Conta de Serviço Gerenciado de Grupo ao NDES. Para obter mais informações sobre as contas de serviço gerenciado, consulte Contas de serviço gerenciado. Para obter mais informações sobre as contas de serviço gerenciado de grupo, consulte Visão geral das contas de serviço gerenciado de grupo.
Para adicionar a conta de serviço do NDES ao grupo local IIS_IUSERS
Depois de criar com êxito uma conta de usuário de domínio como a conta de serviço do NDES, você precisa adicionar essa conta de serviço do NDES ao grupo local IIS_IUSRS.
No servidor host do serviço de NDES, abra o Gerenciamento do computador (compmgmt.msc).
Na árvore de console do Gerenciamento do computador, em Ferramentas do sistema, expanda Usuários e grupos locais. Selecione Grupos.
No painel de detalhes, selecione IIS_IUSRS.
Na guia Geral, selecione Adicionar.
Na caixa de texto Usuários, Computadores, Contas de serviço ou Grupos selecionados, digite o nome de login do usuário para a conta que você configurou para ser a conta de serviço.
Selecione Verificar nomes, selecione OK duas vezes e feche Gerenciamento do Computador.
Dica
Você também pode usar net localgroup IIS_IUSRS <domain>\<username> /Add
para adicionar a conta de serviço do NDES ao grupo local IIS_IUSRS. O prompt de comando ou o Windows PowerShell precisa ser executado como Administrador. Para obter mais informações, consulte o comando Add-LocalGroupMember do PowerShell.
Configurar a permissão de solicitação na AC
As contas de serviço do NDES precisam solicitar permissão na AC que deve ser usada pelo NDES.
Na AC que deve ser usada pelo NDES, abra o console da AC com uma conta que tem permissões para Gerenciar a CA.
Abra o console da Autoridade de Certificação. Clique com o botão direito do mouse na pasta e selecione Propriedades.
Na guia Segurança, você pode ver as contas que possuem permissão de Solicitação de Certificado. Por padrão, o grupo Usuários autenticados possui esta permissão. A conta de serviço criada será um membro de Usuários Autenticados quando estiver em uso. Não será necessário conceder permissões adicionais se os Usuários autenticados tiverem permissão de Solicitação de Certificados. Contudo, se este não for o caso, você deverá conceder permissão de Solicitação de Certificados para a conta de serviço de NDES na AC. Para fazer isso:
Selecione Adicionar.
Na caixa de texto Selecionar Usuários, Computadores, Contas de Serviço ou Grupos, digite o nome da conta de serviço de NDES, selecione Verificar Nomes e OK.
Verifique se a conta de serviço de NDES foi selecionada. Verifique se a caixa de seleção Permitir correspondente a Solicitar Certificados está selecionada. Selecione OK.
Verificar se é necessário definir um nome de entidade de serviço para o NDES
Você precisará configurar um SPN (nome da entidade de serviço) no Active Directory se estiver usando um balanceador de carga ou um nome virtual. Nesta seção, saiba como determinar se é necessário definir um SPN no Active Directory.
Se você estiver usando apenas um servidor NDES e o nome de host real dele (cenário mais comum), a conta não precisará de um SPN registrado. Os SPNs padrão das contas de computador para HOST/computerFQDN abrangem esse caso. Se você estiver usando todos os outros padrões (especialmente em relação à autenticação do modo kernel do IIS), poderá ir para a próxima seção deste artigo.
Se você estiver usando um registro A personalizado como um nome de host ou balanceamento de carga com um IP virtual, um SPN precisará ser registrado na conta de serviço do NDES (SCEPSvc). Para registrar um SPN na conta de serviço do NDES:
Use a sintaxe de comando Setspn de:
Setspn -s HTTP/<computerfqdn> <domainname\accountname>
ao inserir seus comandos. Por exemplo, seu domínio éFabrikam.com
, o CNAME do NDES éNDESFARM
e você está usando uma conta de serviço chamadaSCEPSvc
. No exemplo, você executará os comandos a seguir.Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvc
Setspn -s HTTP/NDESFARM fabrikam\SCEPSvc
Em seguida, desabilite a Autenticação do modo Kernel do IIS para o site.
Configurar o serviço de função do NDES
Após a conclusão da instalação, você precisará executar algumas etapas para concluir a configuração do computador do NDES.
Se o NDES estiver instalado em uma AC, você não poderá selecionar uma AC, pois a AC local será usada.
Ao instalar o NDES em um computador que não é uma AC, você precisará selecionar a AC de destino. Você pode selecionar a AC pelo nome dela ou pelo nome do computador.
Para selecionar a AC:
Abra a Configuração do AD CS no Gerenciador do Servidor.
Selecione uma AC para NDES
Selecione Nome da AC ou Nome do computador e clique em Selecionar.
A opção escolhida determinará o tipo de caixa de diálogo apresentado em seguida:
Se você clicou em Nome de Autoridade de Certificação, a caixa de diálogo Selecionar Autoridade de Certificação será exibida, mostrando uma lista de CAs disponíveis para escolher.
ou
Se você clicou em Nome do computador, a caixa de diálogo Selecionar computador será exibida, em que você poderá definir os Locais e digitar o nome do computador que você deseja especificar como AC.
Agora você está pronto para concluir a configuração do serviço de função do NDES. As etapas restantes estão verificando as informações da Autoridade de Registro e configurando a criptografia.
As informações de AR (autoridade de registro) fornecidas aqui serão usadas para criar o certificado de assinatura emitido para o serviço. No Gerenciador do Servidor. Selecione as informações da AR.
Verifique todos os campos e confirme se as informações da AR estão corretas (ou definidas como os padrões).
O NDES usa dois certificados e as chaves dele para habilitar o registro do dispositivo. As organizações podem usar CSPs (Provedores de Serviços Criptográficos) diferentes para armazenar essas chaves, ou alterar a extensão das chaves usadas pelo serviço. Há suporte somente aos provedores de serviços CryptoAPI (Interface de Programação de Aplicativos Criptográficos) para as chaves de AR. Provedores de CNG: (Criptografia de Nova Geração) de API não têm suporte.
Para configurar a criptografia, em Gerenciador do Servidor, selecione Criptografia para NDES.
Insira os valores de Provedor de Chave de Assinatura e/ou Provedor de Chave de Criptografia e decida sobre os valores de comprimento da chave.
Continue por meio do assistente para concluir a instalação do NDES.
Agora que você configurou o serviço de função, você pode aprender informações detalhadas sobre a configuração e a operação do NDES, confira NDES (Serviço de Registro de Dispositivo de Rede) nos AD CS (Serviços de Certificados do Active Directory).
Dica
Se você fizer alterações de configuração para NDES ou para os modelos de certificado usados pelo NDES, deve parar e reiniciar o NDES, o IIS e o serviço de AC.