Che cos'è il servizio Registrazione dispositivi di rete per i Servizi certificati Active Directory?

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Il servizio Registrazione dispositivi di rete (NDES) è uno dei servizi di ruolo dei Servizi certificati Active Directory (AD CS). Il servizio Registrazione dispositivi di rete funge da Autorità di registrazione per consentire al software dei router e di altri dispositivi di rete che funzionano senza credenziali di dominio di ottenere certificati basati su Simple Certificate Enrollment Protocol (SCEP).

Simple Certificate Enrollment Protocol (SCEP) definisce il protocollo di comunicazione tra i dispositivi di rete e un'autorità di registrazione per la registrazione certificato. Si impegna a supportare l'emissione sicura di certificati ai dispositivi di rete in modo scalabile, usando la tecnologia esistente nelle reti chiuse con endpoint attendibili. Per altre informazioni su SCEP, vedere RFC 8894 Simple Certificate Enrollment Protocol.

Informazioni sul servizio Registrazione dispositivi di rete

SCEP è una soluzione al problema di consentire ai dispositivi di rete che non funzionano con le credenziali di dominio di registrarsi per i certificati x509 versione 3 di un’Autorità di certificazione (CA). Il Servizio Registrazione dispositivi di rete fornisce a qualsiasi dispositivo di rete una chiave privata e un certificato associato emesso da una CA. Le applicazioni nel dispositivo possono usare la chiave e il certificato associato per interagire con altre entità nella rete. L'uso più comune di un certificato rilasciato dal servizio Registrazione dispositivi di rete in un dispositivo di rete consiste nell’autenticare il dispositivo in una sessione IPSec.

Il protocollo SCEP è stato sviluppato per supportare il rilascio sicuro e scalabile di certificati a dispositivi di rete tramite autorità di certificazione (CA) esistenti. Il protocollo supporta la distribuzione delle chiavi pubbliche delle autorità di certificazione e delle autorità di registrazione, la registrazione e la richiesta di revoca dei certificati.

Il servizio Registrazione dispositivi di rete esegue le funzioni seguenti:

• Genera e fornisce agli amministratori le password di iscrizione una tantum.

• Invia le richieste di registrazione alla CA.

• Recupera i certificati registrati dalla CA e li inoltra al dispositivo di rete.

Il servizio Registrazione dispositivi di rete viene implementato come estensione di Internet Server API (ISAPI). Richiede che il ruolo Internet Information Services (IIS) sia installato sullo stesso computer. Non richiede che la CA sia installata nello stesso computer. L'estensione ISAPI viene eseguita nel proprio pool di applicazioni, ovvero SCEP. Questo pool di applicazioni viene creato durante l’installazione ed è configurato per essere eseguito con le credenziali fornite durante l’installazione.

La specifica SCEP non richiede che i dispositivi supportino TLS. Tuttavia, il processo di recupero della password una tantum dal servizio deve essere protetto tramite TLS. Il programma di installazione crea due applicazioni virtuali, una per il dispositivo e una per l'amministratore.

• Percorso di comunicazione dei dispositivihttps://<hostname>/certsrv/mscep
• Percorso di recupero della password di registrazione dell'amministratore https://<hostname>/certsrv/mscep_admin

Le password vengono usate dal servizio per autenticare il dispositivo prima di inoltrare la richiesta di registrazione alla CA. Le password si ottengono tramite una chiamata all'applicazione virtuale di amministrazione.

La registrazione dei certificati tramite il servizio Registrazione dispositivi di rete è un processo semplice:

1. Il dispositivo ottiene una coppia di chiavi pubbliche e private RSA dall'endpoint Web /certsrv/mscep.

2. L'amministratore ottiene una password dal servizio Registrazione dispositivi di rete.

3. L'amministratore imposta il dispositivo con una password e lo imposta per considerare attendibile la PKI aziendale /certserv/mscep_admin web endpoint.

4. Dispositivo configurato per inviare la richiesta di registrazione al servizio Registrazione dispositivi di rete.

5. NDES firma la richiesta di iscrizione con il certificato dell'agente di registrazione e lo invia alla CA.

6. La CA rilascia il certificato.

7. Il dispositivo recupera il certificato emesso dal servizio Registrazione dispositivi di rete.

Impostazioni di configurazione del servizio Registrazione dispositivi di rete

Il servizio Registrazione dispositivi di rete può essere configurato per l'esecuzione dopo l'installazione del servizio ruolo NDES come uno dei seguenti:

• un account utente specificato come account del servizio

• l'identità del pool di applicazioni incorporata del computer Internet Information Services (IIS)

Passaggi successivi

Dopo aver appreso che cos'è NDES, ecco alcuni articoli che consentono di configurare ed eseguire correttamente NDES.

• Configurazione del servizio Registrazione dispositivi di rete per i servizi certificati Active Directory

• Se è necessaria la registrazione in modalità wireless per i dispositivi mobili, vedere Using a Policy Module with the Network Device Enrollment Service.

• Per informazioni dettagliate sulla configurazione e sul funzionamento del servizio Registrazione dispositivi di rete, vedere Servizio Registrazione dispositivi di rete (NDES) in Servizi certificati Active Directory (AD CS).