Что такое служба регистрации сетевых устройств для служб сертификатов Active Directory?

Область применения: Windows Server (все поддерживаемые версии)

Служба регистрации сетевых устройств (NDES) является одной из служб ролей служб сертификатов Active Directory (AD CS). NDES выступает в качестве центра регистрации, чтобы программное обеспечение на маршрутизаторах и других сетевых устройствах, работающих без учетных данных домена, получать сертификаты на основе протокола простой регистрации сертификатов (SCEP).

SCEP определяет протокол связи между сетевыми устройствами и центром регистрации для регистрации сертификатов. Он стремится поддерживать безопасную выдачу сертификатов сетевым устройствам в масштабируемом режиме, используя существующую технологию в закрытых сетях с доверенными конечными точками. Дополнительные сведения о SCEP см. в статье RFC 8894 Simple Certificate Enrollment Protocol.

Общие сведения о службе регистрации сетевых устройств

SCEP — это решение проблемы включения сетевых устройств, которые не выполняются с учетными данными домена для регистрации сертификатов x509 версии 3 из центра сертификации (ЦС). NDES предоставляет любое сетевое устройство с закрытым ключом и соответствующим сертификатом, выданным ЦС. Приложения на устройстве могут использовать ключ и связанный с ним сертификат для взаимодействия с другими сущностями в сети. Наиболее распространенное использование сертификата, выданного NDES на сетевом устройстве, заключается в проверке подлинности устройства в сеансе IPSec.

Протокол SCEP был разработан для безопасной масштабируемой выдачи сертификатов сетевым устройствам с помощью существующих центров сертификации (ЦС). Протокол поддерживает распространение открытых ключей центра сертификации, регистрацию и запросы отзыва сертификатов.

NDES выполняет следующие функции:

• Создает и предоставляет одноразовые пароли регистрации администраторам.

• Отправляет запросы на регистрацию в ЦС.

• Извлекает зарегистрированные сертификаты из ЦС и пересылает их на сетевое устройство.

NDES реализуется как расширение API INTERNET Server (ISAPI). Для этого требуется, чтобы роль службы IIS (IIS) была установлена на том же компьютере. Для установки ЦС на одном компьютере не требуется. Расширение ISAPI выполняется в собственном пуле приложений, то есть SCEP. Этот пул приложений создается во время установки и настраивается для запуска с учетными данными, предоставленными во время установки.

Спецификация SCEP не требует, чтобы устройства поддерживали TLS. Однако процесс получения одноразового пароля из службы должен быть защищен с помощью TLS. Программа установки создает два виртуальных приложения — один для устройства и один для администратора.

• Расположение связи устройствhttps://<hostname>/certsrv/mscep
• расположение получения пароля Администратор istratorhttps://<hostname>/certsrv/mscep_admin

Пароли используются службой для проверки подлинности устройства перед пересылкой запроса на регистрацию в ЦС. Пароли получаются через вызов виртуального приложения администрирования.

Регистрация сертификатов с помощью службы регистрации сетевых устройств — это простой процесс:

1. Устройство получает пару открытого ключа RSA из веб-конечной точки /certsrv/mscep .

2. Администратор istrator получает пароль из службы регистрации сетевых устройств.

3. Администратор istrator задает устройство паролем и задает для него доверие к корпоративной PKI /certserv/mscep_admin веб-конечной точке.

4. Устройство, настроенное для отправки запроса на регистрацию в NDES.

5. NDES подписывает запрос на регистрацию с помощью сертификата агента регистрации и отправляет его в ЦС.

6. ЦС выдает сертификат.

7. Устройство получает выданный сертификат из NDES.

Параметры конфигурации NDES

NDES можно настроить для запуска как одно из следующих после установки службы ролей NDES:

• как учетную запись пользователя, настроенную в качестве учетной записи службы;

• как встроенный идентификатор пула приложений на компьютере IIS.

Следующие шаги

Теперь, когда вы узнали о том, что такое NDES, приведены некоторые статьи, которые помогут вам настроить и запустить NDES успешно.

• Настройка службы регистрации сетевых устройств для служб сертификатов Active Directory

• Если требуется беспроводная регистрация мобильных устройств, см. раздел Using a Policy Module with the Network Device Enrollment Service.

• Подробные сведения о конфигурации и операции NDES см. в разделе Службы регистрации сетевых устройств (NDES) в службах сертификатов Active Directory (AD CS).