Was ist der Registrierungsdienst für Netzwerkgeräte für Active Directory-Zertifikatdienste?
Gilt für: Windows Server (alle unterstützten Versionen)
Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) ist einer der Rollendienste der Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS). Der Registrierungsdienst für Netzwerkgeräte fungiert als Registrierungsstelle, um der Software auf Routern und anderen Netzwerkgeräten ohne Netzwerkanmeldeinformationen das Abrufen von Zertifikaten auf Basis des Simple Certificate Enrollment-Protokolls (SCEP) zu ermöglichen.
Das Simple Certificate Enrollment-Protokoll definiert das Kommunikationsprotokoll zwischen Netzwerkgeräten und einer Registrierungsstelle für die Zertifikatregistrierung. Es dient dazu, die sichere, skalierbare Ausstellung von Zertifikaten für Netzwerkgeräte unter Verwendung bereits vorhandener Technologie in geschlossenen Netzwerken mit vertrauenswürdigen Endpunkten zu unterstützen. Weitere Informationen zum Simple Certificate Enrollment-Protokoll finden Sie unter Simple Certificate Enrollment Protocol (Simple Certificate Enrollment-Protokoll).
Grundlegendes zum Registrierungsdienst für Netzwerkgeräte
Das Simple Certificate Enrollment-Protokoll ist eine Lösung, mit der Netzwerkgeräten, die nicht mit Domänenanmeldeinformationen ausgeführt werden, die Registrierung für x509-Zertifikate der Version 3 von einer Zertifizierungsstelle (ZS) ermöglicht wird. Der Registrierungsdienst für Netzwerkgeräte stellt jedem Netzwerkgerät einen privaten Schlüssel und das zugehörige Zertifikat zur Verfügung, das von einer Zertifizierungsstelle ausgestellt wurde. Anwendungen auf dem Gerät können den Schlüssel und das zugehörige Zertifikat verwenden, um mit anderen Entitäten im Netzwerk zu interagieren. Die häufigste Verwendung eines vom Registrierungsdienst für Netzwerkgeräte ausgestellten Zertifikats auf einem Netzwerkgerät ist die Authentifizierung des Geräts in einer IPsec-Sitzung.
SCEP wurde entwickelt, um die sichere und skalierbare Ausstellung von Zertifikaten an Netzwerkgeräte über existierende Zertifizierungsstellen (ZS) zu unterstützen. Das Protokoll unterstützt die Verteilung öffentlicher Schlüssel von Zertifizierungs- und Registrierungsstellen sowie Registrierungen und Zertifikatsperrabfragen.
Der Registrierungsdienst für Netzwerkgeräte hat folgende Funktionen:
Generierung und Bereitstellung einmaliger Registrierungskennwörter für Administrator*innen
Übermittlung von Registrierungsanforderungen an die Zertifizierungsstelle
Abruf registrierter Zertifikate von der Zertifizierungsstelle und Weiterleitung an das Netzwerkgerät
Der Registrierungsdienst für Netzwerkgeräte wird als ISAPI-Erweiterung (Internet Server API) implementiert. Auf dem Computer muss die IIS-Rolle (Internet Information Services, Internetinformationsdienste) installiert sein. Die Zertifizierungsstelle muss nicht auf dem gleichen Computer installiert sein. Die ISAPI-Erweiterung wird in ihrem eigenen Anwendungspool (SCEP) ausgeführt. Dieser Anwendungspool wird während des Setups erstellt und für die Ausführung mit den Anmeldeinformationen konfiguriert, die während des Setups angegeben wurden.
Die SCEP-Spezifikation setzt keine Geräte mit TLS-Unterstützung voraus. Das Abrufen eines Einmalkennwort vom Dienst sollte jedoch durch TLS geschützt werden. Im Rahmen des Setups werden zwei virtuelle Anwendungen erstellt: eine für das Gerät und eine für den Administrator bzw. für die Administratorin.
- Ort für die Gerätekommunikation:
https://<hostname>/certsrv/mscep - Ort zum Abrufen des Administratorregistrierungskennworts:
https://<hostname>/certsrv/mscep_admin
Kennwörter werden vom Dienst verwendet, um das Gerät zu authentifizieren, bevor die Registrierungsanforderung an die Zertifizierungsstelle weitergeleitet wird. Kennwörter werden durch einen Aufruf der virtuellen Verwaltungsanwendung abgerufen.
Das Registrieren von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte ist ein einfacher Prozess:
Das Gerät ruft ein öffentliches/privates RSA-Schlüsselpaar vom Webendpunkt /certsrv/mscep ab.
Der Administrator bzw. die Administratorin ruft ein Kennwort vom Registrierungsdienst für Netzwerkgeräte ab.
Der Administrator bzw. die Administratorin legt ein Kennwort für das Gerät fest und konfiguriert das Gerät so, dass es dem Unternehmens-PKI-Webendpunkt /certserv/mscep_admin vertraut.
Das Gerät wird zum Senden einer Registrierungsanforderung an den Registrierungsdienst für Netzwerkgeräte konfiguriert.
Der Registrierungsdienst für Netzwerkgeräte signiert die Registrierungsanforderung mit dem Registrierungs-Agent-Zertifikat und sendet sie an die Zertifizierungsstelle.
Die Zertifizierungsstelle stellt das Zertifikat aus.
Das Gerät ruft das ausgestellte Zertifikat vom Registrierungsdienst für Netzwerkgeräte ab.
NDES-Konfigurationseinstellungen
Der Registrierungsdienst für Netzwerkgeräte kann so konfiguriert werden, dass er nach der Installation des NDES-Rollendiensts als eine der folgenden Varianten ausgeführt wird:
Ein Benutzerkonto, das als Dienstkonto konfiguriert ist
Die integrierte Anwendungspool-Identität des Internetinformationsdienste (IIS)-Computers
Nächste Schritte
Nachdem Sie nun wissen, was der Registrierungsdienst für Netzwerkgeräte ist, können Sie sich anhand der folgenden Artikel darüber informieren, wie Sie den Registrierungsdienst für Netzwerkgeräte erfolgreich konfigurieren und ausführen:
Informationen zur drahtlosen Registrierung mobiler Geräte finden Sie unter Verwenden eines Richtlinienmoduls mit dem Registrierungsdienst für Netzwerkgeräte.
Ausführliche Informationen zur Konfiguration und zum Betrieb des Registrierungsdiensts für Netzwerkgeräte finden Sie im Artikel Active Directory Certificate Services (AD CS): Network Device Enrollment Service (NDES) (Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS): Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)).