网络设备注册服务 (NDES) 是 Active Directory 证书服务 (AD CS) 的角色服务之一。 NDES 充当注册机构,使在路由器和其他网络设备上运行的没有域凭据的软件能够基于简单证书注册协议 (SCEP) 获取证书。
SCEP 定义网络设备与注册机构之间的通信协议,以便进行证书注册。 它努力支持在具有受信任终结点的封闭网络中使用现有技术以可缩放的方式向网络设备安全颁发证书。 有关 SCEP 的详细信息,请参阅 RFC 8894 简单证书注册协议。
了解网络设备注册服务
SCEP 是解决以下问题的解决方案:允许未使用域凭据运行的网络设备从证书颁发机构 (CA) 注册 x509 版本 3 证书。 NDES 为任何网络设备提供私钥和 CA 颁发的相关证书。 设备上的应用程序可以使用密钥及其相关证书与网络上的其他实体进行交互。 在网络设备上,NDES 颁发的证书的最常见用途是在 IPSec 会话中对设备进行身份验证。
开发 SCEP 的目的是支持使用现有证书颁发机构 (CA) 向网络设备颁发可扩展的安全证书。 该协议支持 CA 和注册机构公钥分发、注册和证书吊销查询。
NDES 执行以下功能:
生成并向管理员提供一次性注册密码。
将注册请求提交到 CA。
从 CA 中检索已注册的证书并将其转发给网络设备。
NDES 实现为 Internet 服务器 API (ISAPI) 扩展。 它要求在同一计算机上安装 Internet Information Services (IIS) 角色。 它不需要在同一计算机上安装 CA。 ISAPI 扩展在其自己的应用程序池(即 SCEP)中运行。 此应用程序池是在安装过程中创建的,并且配置为使用安装期间提供的凭据运行。
SCEP 规范不要求设备支持 TLS。 但是,应使用 TLS 保护从服务检索一次性密码的过程。 安装程序会创建两个虚拟应用程序 - 一个用于设备,另一个用于管理员。
- 设备通信位置
https://<hostname>/certsrv/mscep - 管理员注册密码检索位置
https://<hostname>/certsrv/mscep_admin
在将注册请求转发到 CA 之前,服务会使用密码对设备进行身份验证。 密码通过对管理虚拟应用程序的调用取得。
通过网络设备注册服务注册证书的过程很简单:
设备从 /certsrv/mscep Web 终结点获取 RSA 公钥-私钥对。
管理员从网络设备注册服务获取密码。
管理员使用密码设置设备,并将其设置为信任企业 PKI /certserv/mscep_admin Web 终结点。
设备配置为将注册请求发送到 NDES。
NDES 使用注册代理证书对注册请求进行签名,并将其发送到 CA。
CA 颁发证书。
设备从 NDES 检索颁发的证书。
NDES 配置设置
安装 NDES 角色服务后,可以将 NDES 配置为以下列任一方式运行:
指定为服务帐户的用户帐户
Internet 信息服务 (IIS) 计算机的内置应用程序池标识
后续步骤
现在,你已了解什么是 NDES,请参阅以下文章,它们可以帮助成功配置和运行 NDES。
如果你需要无线注册移动设备,请参阅结合使用策略模块与网络设备注册服务。