O que é o Serviço de Registro de Dispositivo de Rede para Serviços de Certificados do Active Directory?

Aplica-se a: Windows Server (todas as versões com suporte)

O NDES (Serviço de Registro de Dispositivo de Rede) é um dos serviços de função dos AD CS (Serviços de Certificados do Active Directory). O NDES age como uma autoridade de registro para permitir o uso do software em roteadores e outros dispositivos de rede executados sem credenciais de domínio para obter certificados baseados no protocolo SCEP.

O SCEP define o protocolo de comunicação entre dispositivos de rede e uma autoridade de registro para registro de certificado. Ele se esforça para dar suporte à emissão segura de certificados para dispositivos de rede de maneira escalonável, usando a tecnologia existente em redes fechadas com pontos de extremidade confiáveis. Para obter mais informações sobre o SCEP, confira Protocolo SCEP RFC 8894.

Noções básicas sobre o Serviço de Registro de Dispositivo de Rede

O SCEP é uma solução para o problema de habilitar dispositivos de rede que não são executados com credenciais de domínio para registrar certificados x509 versão 3 de uma AC (Autoridade de Certificação). O NDES fornece a qualquer dispositivo de rede uma chave privada e um certificado associado emitido por uma AC. Os aplicativos no dispositivo podem usar a chave e o certificado associado a ela para interagir com outras entidades na rede. O uso mais comum de um certificado emitido pelo NDES em um dispositivo de rede é autenticar o dispositivo em uma sessão IPSec.

O protocolo SCEP foi desenvolvido para dar suporte à emissão segura e escalonável de certificados para dispositivos de rede usando CAs (autoridades de certificação) existentes. O protocolo dá suporte à distribuição de CA e de chave pública de autoridade de registro, registro e consultas de revogação de certificado.

O NDES executa as seguintes funções:

• Gera e fornece senhas de uso único de registro para os administradores.

• Envia solicitações de registro para a AC.

• Recupera os certificados registrados da AC e encaminha-os para os dispositivos de rede.

O NDES é implementado como uma extensão ISAPI (API do Servidor de Internet). Ele exige que a função IIS (Serviços de Informações da Internet) seja instalada no mesmo computador. Ele não exige que a AC seja instalada no mesmo computador. A extensão ISAPI é executada no pool de aplicativos dela, ou seja, SCEP. Esse pool de aplicativos é criado durante a instalação e é configurado para ser executado com as credenciais fornecidas durante a instalação.

A especificação SCEP não exige que dispositivos deem suporte ao TLS. No entanto, o processo de recuperação de uma senha única do serviço deve ser protegido usando TLS. A instalação cria dois aplicativos virtuais: um para o dispositivo e outro para o administrador.

• Local de comunicação de dispositivoshttps://<hostname>/certsrv/mscep
• Local https://<hostname>/certsrv/mscep_admin de recuperação de senha de registro do administrador

As senhas são usadas pelo serviço para autenticar o dispositivo antes de encaminhar sua solicitação de registro para a AC. As senhas são obtidas por meio de uma chamada para o aplicativo virtual de administração.

Registrar certificados por meio do Serviço de Registro de Dispositivo de Rede é um processo simples:

1. O dispositivo obtém um par de chaves pública-privada RSA do ponto de extremidade da Web /certsrv/mscep.

2. O administrador obtém uma senha do Serviço de Registro de Dispositivo de Rede.

3. O administrador define o dispositivo com senha e o define para confiar no ponto de extremidade da Web /certserv/mscep_admin do PKI da empresa.

4. Dispositivo configurado para enviar uma solicitação de registro para o NDES.

5. O NDES assina a solicitação de registro com o certificado do Agente de Registro e o envia para a AC.

6. A AC emite o certificado.

7. O dispositivo recupera o certificado emitido do NDES.

Definições de configuração de NDES

O NDES pode ser configurado para ser executado como um dos seguintes após a instalação do serviço de função do NDES:

• Uma conta de usuário especificada como conta de serviço

• A identidade do pool de aplicativos integrados do computador de ISS (Serviços de Informações da Internet)

Próximas etapas

Agora que você aprendeu sobre o que é o NDES, aqui estão alguns artigos para ajudar você a configurar e executar o NDES com êxito.

• Configurar o Serviço de Registro de Dispositivo de Rede para Serviços de Certificados do Active Directory

• Se você precisar de registro sem fio para dispositivos móveis, consulte Usando o módulo de política com o Serviço de Registro do Dispositivo de Rede.

• Para obter informações mais detalhadas sobre a configuração e a operação de NDES, confira NDES (Serviço de Registro de Dispositivo de Rede) no AD CS (Serviços de Certificados do Active Directory).