Настройка службы регистрации сетевых устройств для использования учетной записи пользователя домена
Рекомендуется настроить NDES для указания учетной записи пользователя, которая требует дополнительных действий. Если выбрать встроенное удостоверение пула приложений, другая конфигурация не требуется.
В этой статье описано, как настроить службу регистрации сетевых устройств (NDES) для запуска в качестве указанной учетной записи службы.
NDES позволяет маршрутизаторам и другим сетевым устройствам получать сертификаты на основе простого протокола регистрации сертификатов (SCEP) без использования учетных данных домена.
Протокол SCEP был разработан для безопасной масштабируемой выдачи сертификатов сетевым устройствам с помощью существующих центров сертификации (ЦС). Протокол поддерживает распространение открытых ключей центра сертификации, регистрацию и запросы отзыва сертификатов.
Дополнительные сведения о NDES и его работе с сертификатами на основе простого протокола регистрации сертификатов см. в статье "Что такое служба регистрации сетевых устройств для служб сертификатов Active Directory?".
Необходимые компоненты
После установки службы ролей NDES для служб сертификатов Active Directory (AD CS) убедитесь, что выполнены следующие предварительные требования:
Быть учетной записью пользователя домена.
Быть членом локальной группы IIS_IUSRS .
Укажите разрешения запроса на настроенный центр сертификации (ЦС).
У вас есть разрешения на чтение и регистрацию в шаблоне сертификата NDES, который настраивается автоматически.
Если вы используете CNAME или имя сети с балансировкой нагрузки, настройте имя принципа службы (SPN) в службах домен Active Directory.
Создание учетной записи пользователя домена для работы в качестве учетной записи службы NDES
Затем необходимо создать учетную запись пользователя домена в качестве учетной записи службы NDES.
Войдите в контроллер домена или на административный компьютер с установленными средствами удаленного администрирования сервера доменных служб Active Directory. Откройте оснастку Пользователи и компьютеры Active Directory , используя учетную запись с разрешениями на добавление пользователей в домен.
В дереве консоли разверните структуру, пока не увидите контейнер, в котором нужно создать учетную запись пользователя. Например, в некоторых организациях есть подразделение "Службы" или аналогичная учетная запись. Щелкните правой кнопкой мыши контейнер, выберите "Создать" и выберите "Пользователь".
В текстовом поле "Новый объект — пользователь " введите соответствующие имена для всех полей, чтобы было ясно, что вы создаете учетную запись пользователя. Соблюдайте политику организации в отношении создания учетных записей служб, если такая политика имеется. Например, можно ввести следующее, а затем нажмите кнопку "Далее".
Имя: Ndes
Фамилия: Служба
Имя входа пользователя: NdesService
Задайте для учетной записи сложный пароль и подтвердите его. Настройте параметры пароля в соответствии с политиками безопасности организации в отношении учетных записей служб. Если пароль имеет срок действия, необходимо реализовать процедуру, обеспечивающую его смену через требуемые интервалы.
Нажмите кнопку "Далее", а затем нажмите кнопку "Готово".
Совет
Вы также можете использовать команду New-ADUser Windows PowerShell для добавления учетной записи пользователя домена.
В зависимости от конфигурации доменных служб Active Directory (AD DS) для службы NDES можно реализовать управляемую учетную запись службы или групповую управляемую учетную запись службы. Дополнительные сведения об управляемых учетных записях служб см. в статье Управляемые учетные записи служб. Дополнительные сведения о групповых управляемых учетных записях служб см. в статье Общие сведения о групповых управляемых учетных записях служб.
Добавление учетной записи службы NDES в локальную группу IIS_IUSRS
После успешного создания учетной записи пользователя домена в качестве учетной записи службы NDES необходимо добавить эту учетную запись службы NDES в локальную группу IIS_IUSRS .
На сервере, на котором размещена служба NDES, откройте службу управления компьютерами (compmgmt.msc).
В дереве консоли "Управление компьютером" в разделе Служебныеразверните узел Локальные пользователи и группы. Выберите Группы.
В области сведений выберите IIS_IUSRS.
На вкладке "Общие " нажмите кнопку "Добавить".
В текстовом поле Выбор пользователей, компьютеров, учетных записей служб или групп введите имя входа пользователя для учетной записи, настроенной в качестве учетной записи службы.
Нажмите кнопку " Проверить имена", дважды нажмите кнопку "ОК ", а затем закройте управление компьютерами.
Совет
Вы также можете добавить net localgroup IIS_IUSRS <domain>\<username> /Add учетную запись службы NDES в локальную группу IIS_IUSRS . Командная строка или Windows PowerShell должны выполняться от имени администратора. Дополнительные сведения см. в командеAdd-LocalGroupMember] PowerShell.
Настройка разрешения запроса на ЦС
Учетные записи служб NDES должны запрашивать разрешение на ЦС, который будет использоваться NDES.
В ЦС, который используется NDES, откройте консоль ЦС с учетной записью с разрешениями управления ЦС.
Откройте консоль центра сертификации. Щелкните правой кнопкой мыши ЦС и выберите пункт "Свойства".
На вкладке Безопасность можно просмотреть учетные записи, у которых есть разрешения на запрос сертификатов. По умолчанию группа Прошедшие проверку имеет это разрешение. Созданная учетная запись службы является членом аутентификации пользователей при его использовании. Вам не нужно предоставлять дополнительные разрешения, если у пользователей, прошедших проверку подлинности, есть разрешение "Сертификаты запроса". Однако если это не так, необходимо предоставить разрешение на запрос сертификатов учетной записи службы NDES в ЦС. Для этого:
Выберите Добавить.
В текстовом поле "Выбор пользователей, компьютеров,учетных записей служб" или "Группы " введите имя учетной записи службы NDES и нажмите кнопку "Проверить имена", а затем нажмите кнопку "ОК".
Убедитесь в том, что выбрана учетная запись службы NDES. Убедитесь в том, что напротив разрешения Запрос сертификатов установлен флажок Разрешить . Нажмите ОК.
Проверьте, необходимо ли задать имя субъекта-службы для NDES
Если вы используете подсистему балансировки нагрузки или виртуальное имя, необходимо настроить имя субъекта-службы (SPN) в Active Directory. В этом разделе описано, как определить, необходимо ли задать имя участника-службы в Active Directory.
Если вы используете один сервер NDES и его фактическое имя узла (наиболее распространенный сценарий), учетная запись не требует регистрации имени субъекта-службы. Учетные записи компьютера по умолчанию spNs для HOST/computerFQDN охватывают этот случай. Если вы используете все остальные значения по умолчанию (особенно вокруг проверки подлинности в режиме ядра IIS), вы можете перейти к следующему разделу этой статьи.
Если вы используете пользовательскую запись A в качестве имени узла или балансировку нагрузки с виртуальным IP-адресом, необходимо зарегистрировать имя субъекта-службы в учетной записи службы NDES (SCEPSvc). Чтобы зарегистрировать имя субъекта-службы в учетной записи службы NDES, выполните следующие действия.
Используйте синтаксис команды Setpn:
Setspn -s HTTP/<computerfqdn> <domainname\accountname>при вводе команд. Например, ваш домен —Fabrikam.comNDES CNAMENDESFARM, и вы используете учетную запись службы с именемSCEPSvc. В этом примере вы выполните следующие команды.Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvcSetspn -s HTTP/NDESFARM fabrikam\SCEPSvc
Затем отключите проверку подлинности в режиме ядра IIS для сайта.
Настройка службы ролей NDES
После завершения установки необходимо выполнить несколько действий, чтобы завершить настройку компьютера NDES.
Если NDES установлен в ЦС, у вас нет возможности выбрать ЦС, так как используется локальный ЦС.
При установке NDES на компьютере, который не является ЦС, необходимо выбрать целевой ЦС. Вы можете выбрать ЦС с помощью имени ЦС или по имени компьютера.
Чтобы выбрать ЦС, выполните следующие действия.
Откройте конфигурацию CS AD из диспетчер сервера.
Выберите центр сертификации для NDES
Выберите имя ЦС или имя компьютера, а затем нажмите кнопку "Выбрать".
Выбор параметра определяет тип диалогового окна, представленного далее:
Если щелкнуть имя ЦС, появится диалоговое окно "Выбор центра сертификации", которое содержит список центров сертификации, из которых можно выбрать.
or
Если был выбран вариант Имя компьютера, откроется диалоговое окно Выбор компьютера , в котором можно задать расположения и ввести имя компьютера, который необходимо указать в качестве ЦС.
Теперь вы готовы выполнить настройку службы ролей NDES. Остальные шаги проверяют сведения центра регистрации и настраивают криптографию.
Сведения центра регистрации (RA), предоставляемые для создания сертификата подписи, выданного службе. В диспетчер сервера. Выберите сведения о RA.
Проверьте все поля и убедитесь, что данные RA верны (или заданы по умолчанию).
NDES использует два сертификата и их ключи для включения регистрации устройств. Организации могут использовать различные поставщики служб шифрования (ПОСТАВЩИКИ услуг) для хранения этих ключей или изменения длины ключей, используемых службой. Поддерживаются только поставщики служб криптографического программирования (CryptoAPI) для ключей RA — API шифрования; Поставщики следующего поколения (CNG) не поддерживаются.
Чтобы настроить криптографию, в диспетчер сервера выберите криптографию для NDES.
Введите значения для поставщика ключей подписи и (или) поставщика ключей шифрования и определите значения длины ключа.
Перейдите к мастеру, чтобы завершить установку NDES.
Теперь, когда вы настроили службу ролей, вы можете узнать подробные сведения о конфигурации и операции NDES в службе регистрации сетевых устройств (NDES) в службах сертификатов Active Directory (AD CS).
Совет
При внесении изменений в конфигурацию для NDES или в шаблоны сертификатов, которые используются службой NDES, необходимо остановить и перезапустить NDES, IIS и службу ЦС.