Настройка службы регистрации сетевых устройств для использования учетной записи пользователя домена

Рекомендуется настроить NDES для указания учетной записи пользователя, которая требует дополнительных действий. Если выбрать встроенное удостоверение пула приложений, другая конфигурация не требуется.

В этой статье вы узнаете, как настроить службу регистрации сетевых устройств (NDES) для запуска от имени указанной учетной записи службы.

NDES позволяет маршрутизаторам и другим сетевым устройствам получать сертификаты на основе простого протокола регистрации сертификатов (SCEP) без использования учетных данных домена.

Протокол SCEP был разработан для безопасной масштабируемой выдачи сертификатов сетевым устройствам с помощью существующих центров сертификации (ЦС). Протокол поддерживает распространение открытых ключей центра сертификации, регистрацию и запросы отзыва сертификатов.

Дополнительные сведения о NDES и о том, как он работает с сертификатами, использующими простой протокол регистрации сертификатов, см. в разделе Что такое служба регистрации сетевых устройств для служб сертификатов Active Directory?.

Prerequisites

После установки службы ролей NDES для служб сертификатов Active Directory (AD CS) убедитесь, что выполнены следующие предварительные требования:

• Быть учетной записью пользователя домена.

• Быть членом локальной группы IIS_IUSRS .

• Убедитесь, что у вас есть разрешения для запроса на конфигурированном центре сертификации (ЦС).

• У вас есть разрешения на чтение и регистрацию в шаблоне сертификата NDES, который настраивается автоматически.

• Если вы используете CNAME или имя сети с балансировкой нагрузки, настройте имя принципа службы (SPN) в доменные службы Active Directory.

Создание учетной записи пользователя домена для работы в качестве учетной записи службы NDES

Затем необходимо создать учетную запись пользователя домена в качестве учетной записи службы NDES.

1. Войдите на контроллер домена или административный компьютер с установленными средствами удаленного администрирования сервера доменные службы Active Directory. Откройте Пользователи и компьютеры Active Directory с помощью учетной записи с разрешениями на добавление пользователей в домен.

2. В дереве консоли разверните структуру, пока не увидите контейнер, в котором нужно создать учетную запись пользователя. Например, в некоторых организациях есть организационная единица "Службы" или похожая структура. Щелкните правой кнопкой мыши контейнер, выберите "Создать" и выберите "Пользователь".

3. В текстовом поле "Новый объект — пользователь " введите соответствующие имена для всех полей, чтобы было ясно, что вы создаете учетную запись пользователя. Соблюдайте политику организации в отношении создания учетных записей служб, если такая политика имеется. Например, можно ввести следующее, а затем нажмите кнопку "Далее".

   • Имя: Ndes

   • Фамилия: Служба

   • Имя входа пользователя: NdesService

4. Задайте для учетной записи сложный пароль и подтвердите его. Настройте параметры пароля в соответствии с политиками безопасности организации в отношении учетных записей служб. Если пароль имеет срок действия, необходимо реализовать процедуру, обеспечивающую его смену через требуемые интервалы.

5. Нажмите кнопку "Далее", а затем нажмите кнопку "Готово".

Добавление учетной записи службы NDES в локальную группу IIS_IUSRS

После успешного создания учетной записи пользователя домена в качестве учетной записи службы NDES необходимо добавить эту учетную запись службы NDES в локальную группу IIS_IUSRS .

1. На сервере, на котором размещена служба NDES, откройте службу управления компьютерами (compmgmt.msc).

2. В консольном дереве "Управление компьютером", в категории "Системные инструменты", разверните "Локальные пользователи и группы". Выберите группы.

3. В области сведений выберите IIS_IUSRS.

4. На вкладке "Общие " нажмите кнопку "Добавить".

5. В текстовом поле Выбор пользователей, компьютеров, учетных записей служб или групп введите имя входа пользователя для учетной записи, настроенной в качестве учетной записи службы.

6. Нажмите кнопку "Проверить имена", дважды нажмите кнопку "ОК ", а затем закройте управление компьютерами.

Настройте разрешения запросов на центре сертификации (ЦС)

Учетным записям служб NDES необходимо запрашивать разрешения на сервере ЦС, который будет использоваться NDES.

1. В ЦС, который будет использоваться NDES, откройте консоль ЦС с учетной записью, обладающей правами управления этим ЦС.

2. Откройте консоль центра сертификации. Щелкните правой кнопкой мыши ЦС и выберите пункт "Свойства".

3. На вкладке "Безопасность" отображаются учетные записи с разрешениями "Запрос сертификатов". По умолчанию группа прошедших проверку подлинности пользователей имеет это разрешение. Созданная учетная запись службы является членом аутентифицированных пользователей при ее использовании. Вам не нужно предоставлять дополнительные разрешения, если у пользователей, прошедших проверку подлинности , есть разрешение "Сертификаты запроса". Однако если это не так, необходимо предоставить учетной записи службы NDES разрешение на запрос сертификатов в Центре сертификации. Для этого:

   • Нажмите кнопку "Добавить".

   • В текстовом поле "Выбор пользователей, компьютеров,учетных записей служб" или "Группы " введите имя учетной записи службы NDES и нажмите кнопку "Проверить имена", а затем нажмите кнопку "ОК".

   • Убедитесь в том, что выбрана учетная запись службы NDES. Убедитесь, что установлен флажок "Разрешить ", соответствующий сертификатам запроса . Нажмите ОК.

Проверьте, необходимо ли задать имя субъекта-службы для NDES

Необходимо настроить имя субъекта-службы (SPN) в Active Directory если вы используете подсистему балансировки нагрузки или виртуальное имя. В этом разделе вы узнаете, как определить, необходимо ли задать SPN (имя субъекта службы) в Active Directory.

• При использовании одного сервера NDES и его фактического хостнейма (наиболее распространенный сценарий) учетная запись не требует регистрации SPN (имени субъекта-службы). Служебные имена по умолчанию (SPN) учетной записи компьютера для HOST/computerFQDN охватывают этот случай. Если вы используете все остальные значения по умолчанию (особенно вокруг проверки подлинности в режиме ядра IIS), вы можете перейти к следующему разделу этой статьи.

• Если вы используете пользовательскую запись A в качестве имени хоста или для балансировки нагрузки с виртуальным IP-адресом, необходимо зарегистрировать SPN для учетной записи службы NDES (SCEPSvc). Чтобы зарегистрировать SPN в учетной записи службы NDES, выполните следующие действия.

  1. Используйте синтаксис команды Setpn: Setspn -s HTTP/<computerfqdn> <domainname\accountname> при вводе команд. Например, ваш домен — Fabrikam.comNDES CNAME NDESFARM, и вы используете учетную запись службы с именем SCEPSvc. В этом примере вы выполните следующие команды.

     • Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvc
     • Setspn -s HTTP/NDESFARM fabrikam\SCEPSvc

  2. Затем отключите проверку подлинности в режиме ядра IIS для сайта.

Настройте службу ролей NDES

После завершения установки необходимо выполнить несколько действий, чтобы завершить настройку компьютера NDES.

Если NDES установлен на CA, у вас нет возможности выбрать другой CA, потому что используется локальный CA.

При установке NDES на компьютере, который не является ЦС, необходимо выбрать целевой ЦС. Вы можете выбрать ЦС с помощью имени ЦС или по имени компьютера.

Чтобы выбрать Центр Сертификации, выполните следующие действия.

1. Откройте конфигурацию CS AD из диспетчер сервера.

2. Выберите Центр сертификации (CA) для NDES

3. Выберите имя ЦС или имя компьютера, а затем нажмите кнопку "Выбрать".

4. Выбор параметра определяет тип диалогового окна, представленного далее:

   • Если щелкнуть имя ЦС, появится диалоговое окно "Выбор центра сертификации ", которое содержит список центров сертификации, из которых можно выбрать.

     or

   • Если щелкнуть имя компьютера, отобразится диалоговое окно "Выбор компьютера", где можно задать расположения и ввести имя компьютера, которое нужно указать в качестве ЦС.

Теперь вы готовы выполнить настройку службы ролей NDES. Остальные шаги проверяют сведения центра регистрации и настраивают криптографию.

1. Информация центра регистрации (RA), которую вы предоставляете, используется для составления сертификата подписи, выдаваемого службе. В диспетчер сервера. Выберите данные RA.

2. Проверьте все поля и убедитесь, что данные RA верны (или заданы по умолчанию).

NDES использует два сертификата и их ключи для включения регистрации устройств. Организации могут использовать различные поставщики служб шифрования (ПОСТАВЩИКИ услуг) для хранения этих ключей или изменения длины ключей, используемых службой. Поддерживаются только поставщики служб криптографического программирования (CryptoAPI) для ключей RA — API шифрования; Поставщики следующего поколения (CNG) не поддерживаются.

1. Чтобы настроить криптографию, в диспетчер сервера выберите криптографию для NDES.

2. Введите значения для поставщика ключей подписи и (или) поставщика ключей шифрования и определите значения длины ключа.

3. Продолжайте выполнять шаги мастера, чтобы завершить установку NDES.

Теперь, когда вы настроили службу ролей, подробные сведения о конфигурации и операции NDES см. в статье Network Device Enrollment Service (NDES) в службе сертификации Active Directory (AD CS).

Дальнейшие шаги

• Использование модуля политики со службой регистрации сетевых устройств

• Часто задаваемые вопросы по инфраструктуре открытых ключей (PKI) службы сертификатов Active Directory (AD CS)