O que é o Serviço de Registro de Dispositivo de Rede para Serviços de Certificados do Active Directory?
Aplica-se a: Windows Server (todas as versões com suporte)
O NDES (Serviço de Registro de Dispositivo de Rede) é um dos serviços de função dos AD CS (Serviços de Certificados do Active Directory). O NDES age como uma autoridade de registro para permitir o uso do software em roteadores e outros dispositivos de rede executados sem credenciais de domínio para obter certificados baseados no protocolo SCEP.
O SCEP define o protocolo de comunicação entre dispositivos de rede e uma autoridade de registro para registro de certificado. Ele se esforça para dar suporte à emissão segura de certificados para dispositivos de rede de maneira escalonável, usando a tecnologia existente em redes fechadas com pontos de extremidade confiáveis. Para obter mais informações sobre o SCEP, confira Protocolo SCEP RFC 8894.
Noções básicas sobre o Serviço de Registro de Dispositivo de Rede
O SCEP é uma solução para o problema de habilitar dispositivos de rede que não são executados com credenciais de domínio para registrar certificados x509 versão 3 de uma AC (Autoridade de Certificação). O NDES fornece a qualquer dispositivo de rede uma chave privada e um certificado associado emitido por uma AC. Os aplicativos no dispositivo podem usar a chave e o certificado associado a ela para interagir com outras entidades na rede. O uso mais comum de um certificado emitido pelo NDES em um dispositivo de rede é autenticar o dispositivo em uma sessão IPSec.
O protocolo SCEP foi desenvolvido para dar suporte à emissão segura e escalonável de certificados para dispositivos de rede usando CAs (autoridades de certificação) existentes. O protocolo dá suporte à distribuição de CA e de chave pública de autoridade de registro, registro e consultas de revogação de certificado.
O NDES executa as seguintes funções:
Gera e fornece senhas de uso único de registro para os administradores.
Envia solicitações de registro para a AC.
Recupera os certificados registrados da AC e encaminha-os para os dispositivos de rede.
O NDES é implementado como uma extensão ISAPI (API do Servidor de Internet). Ele exige que a função IIS (Serviços de Informações da Internet) seja instalada no mesmo computador. Ele não exige que a AC seja instalada no mesmo computador. A extensão ISAPI é executada no pool de aplicativos dela, ou seja, SCEP. Esse pool de aplicativos é criado durante a instalação e é configurado para ser executado com as credenciais fornecidas durante a instalação.
A especificação SCEP não exige que dispositivos deem suporte ao TLS. No entanto, o processo de recuperação de uma senha única do serviço deve ser protegido usando TLS. A instalação cria dois aplicativos virtuais: um para o dispositivo e outro para o administrador.
- Local de comunicação de dispositivos
https://<hostname>/certsrv/mscep
- Local
https://<hostname>/certsrv/mscep_admin
de recuperação de senha de registro do administrador
As senhas são usadas pelo serviço para autenticar o dispositivo antes de encaminhar sua solicitação de registro para a AC. As senhas são obtidas por meio de uma chamada para o aplicativo virtual de administração.
Registrar certificados por meio do Serviço de Registro de Dispositivo de Rede é um processo simples:
O dispositivo obtém um par de chaves pública-privada RSA do ponto de extremidade da Web /certsrv/mscep.
O administrador obtém uma senha do Serviço de Registro de Dispositivo de Rede.
O administrador define o dispositivo com senha e o define para confiar no ponto de extremidade da Web /certserv/mscep_admin do PKI da empresa.
Dispositivo configurado para enviar uma solicitação de registro para o NDES.
O NDES assina a solicitação de registro com o certificado do Agente de Registro e o envia para a AC.
A AC emite o certificado.
O dispositivo recupera o certificado emitido do NDES.
Definições de configuração de NDES
O NDES pode ser configurado para ser executado como um dos seguintes após a instalação do serviço de função do NDES:
Uma conta de usuário especificada como conta de serviço
A identidade do pool de aplicativos integrados do computador de ISS (Serviços de Informações da Internet)
Próximas etapas
Agora que você aprendeu sobre o que é o NDES, aqui estão alguns artigos para ajudar você a configurar e executar o NDES com êxito.
Se você precisar de registro sem fio para dispositivos móveis, consulte Usando o módulo de política com o Serviço de Registro do Dispositivo de Rede.
Para obter informações mais detalhadas sobre a configuração e a operação de NDES, confira NDES (Serviço de Registro de Dispositivo de Rede) no AD CS (Serviços de Certificados do Active Directory).