Настройка службы регистрации сетевых устройств для использования учетной записи пользователя домена

Рекомендуется настроить NDES для указания учетной записи пользователя, которая требует дополнительных действий. Если выбрать встроенное удостоверение пула приложений, другая конфигурация не требуется.

В этой статье описано, как настроить службу регистрации сетевых устройств (NDES) для запуска в качестве указанной учетной записи службы.

NDES позволяет маршрутизаторам и другим сетевым устройствам получать сертификаты на основе простого протокола регистрации сертификатов (SCEP) без использования учетных данных домена.

Протокол SCEP был разработан для безопасной масштабируемой выдачи сертификатов сетевым устройствам с помощью существующих центров сертификации (ЦС). Протокол поддерживает распространение открытых ключей центра сертификации, регистрацию и запросы отзыва сертификатов.

Дополнительные сведения о NDES и его работе с сертификатами на основе простого протокола регистрации сертификатов см. в статье "Что такое служба регистрации сетевых устройств для служб сертификатов Active Directory?".

Prerequisites

После установки службы ролей NDES для служб сертификатов Active Directory (AD CS) убедитесь, что выполнены следующие предварительные требования:

• Быть учетной записью пользователя домена.

• Be a member of the local IIS_IUSRS group.

• Укажите разрешения запроса на настроенный центр сертификации (ЦС).

• У вас есть разрешения на чтение и регистрацию в шаблоне сертификата NDES, который настраивается автоматически.

• Если вы используете CNAME или имя сети с балансировкой нагрузки, настройте имя принципа службы (SPN) в службах домен Active Directory.

Создание учетной записи пользователя домена для работы в качестве учетной записи службы NDES

Затем необходимо создать учетную запись пользователя домена в качестве учетной записи службы NDES.

1. Войдите в контроллер домена или на административный компьютер с установленными средствами удаленного администрирования сервера доменных служб Active Directory. Откройте оснастку Пользователи и компьютеры Active Directory , используя учетную запись с разрешениями на добавление пользователей в домен.

2. В дереве консоли разверните структуру, пока не увидите контейнер, в котором нужно создать учетную запись пользователя. Например, в некоторых организациях есть подразделение "Службы" или аналогичная учетная запись. Right-click the container, select New, and then select User.

3. В текстовом поле "Новый объект — пользователь " введите соответствующие имена для всех полей, чтобы было ясно, что вы создаете учетную запись пользователя. Соблюдайте политику организации в отношении создания учетных записей служб, если такая политика имеется. As an example, you could enter the following, and then select Next.

   • First name: Ndes

   • Last name: Service

   • Имя входа пользователя: NdesService

4. Задайте для учетной записи сложный пароль и подтвердите его. Настройте параметры пароля в соответствии с политиками безопасности организации в отношении учетных записей служб. Если пароль имеет срок действия, необходимо реализовать процедуру, обеспечивающую его смену через требуемые интервалы.

5. Select Next, and then select Finished.

Tip

• You can also use the New-ADUser Windows PowerShell command to add a domain user account.

• В зависимости от конфигурации доменных служб Active Directory (AD DS) для службы NDES можно реализовать управляемую учетную запись службы или групповую управляемую учетную запись службы. Дополнительные сведения об управляемых учетных записях служб см. в статье Управляемые учетные записи служб. Дополнительные сведения о групповых управляемых учетных записях служб см. в статье Общие сведения о групповых управляемых учетных записях служб.

Add the NDES service account to the local IIS_IUSRS group

After you successfully created a domain user account as the NDES service account, you must add this NDES service account to the local IIS_IUSRS group.

1. On the server that is hosting the NDES service, open Computer Management (compmgmt.msc).

2. In the Computer Management console tree, under System Tools, expand Local User and Groups. Select Groups.

3. In the details pane, select IIS_IUSRS.

4. In the General tab, select Add.

5. В текстовом поле Выбор пользователей, компьютеров, учетных записей служб или групп введите имя входа пользователя для учетной записи, настроенной в качестве учетной записи службы.

6. Select Check Names, select OK twice, and then close Computer Management.

Tip

You can also use net localgroup IIS_IUSRS <domain>\<username> /Add to add the NDES service account to the local IIS_IUSRS group. Командная строка или Windows PowerShell должны выполняться от имени администратора. For more information, see theAdd-LocalGroupMember] PowerShell command.

Настройка разрешения запроса на ЦС

Учетные записи служб NDES должны запрашивать разрешение на ЦС, который будет использоваться NDES.

1. В ЦС, который используется NDES, откройте консоль ЦС с учетной записью с разрешениями управления ЦС.

2. Откройте консоль центра сертификации. Right-click the CA, and then select Properties.

3. On the Security tab, you can see the accounts that have Request Certificates permissions. By default the group Authenticated Users has this permission. The service account that you created is a member of Authenticated Users when it's in use. You don't need to grant more permissions, if Authenticated Users has the Request Certificates permission. Однако если это не так, необходимо предоставить разрешение на запрос сертификатов учетной записи службы NDES в ЦС. Для этого:

   • Select Add.

   • В текстовом поле "Выбор пользователей, компьютеров,учетных записей служб" или "Группы " введите имя учетной записи службы NDES и нажмите кнопку "Проверить имена", а затем нажмите кнопку "ОК".

   • Убедитесь в том, что выбрана учетная запись службы NDES. Ensure that the Allow check box that corresponds to Request Certificates is selected. Select OK.

Проверьте, необходимо ли задать имя субъекта-службы для NDES

Если вы используете подсистему балансировки нагрузки или виртуальное имя, необходимо настроить имя субъекта-службы (SPN) в Active Directory. В этом разделе описано, как определить, необходимо ли задать имя участника-службы в Active Directory.

• Если вы используете один сервер NDES и его фактическое имя узла (наиболее распространенный сценарий), учетная запись не требует регистрации имени субъекта-службы. Учетные записи компьютера по умолчанию spNs для HOST/computerFQDN охватывают этот случай. Если вы используете все остальные значения по умолчанию (особенно вокруг проверки подлинности в режиме ядра IIS), вы можете перейти к следующему разделу этой статьи.

• Если вы используете пользовательскую запись A в качестве имени узла или балансировку нагрузки с виртуальным IP-адресом, необходимо зарегистрировать имя субъекта-службы в учетной записи службы NDES (SCEPSvc). Чтобы зарегистрировать имя субъекта-службы в учетной записи службы NDES, выполните следующие действия.

  1. Используйте синтаксис команды Setpn: Setspn -s HTTP/<computerfqdn> <domainname\accountname> при вводе команд. Например, ваш домен — Fabrikam.comNDES CNAME NDESFARM, и вы используете учетную запись службы с именем SCEPSvc. В этом примере вы выполните следующие команды.

     • Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvc
     • Setspn -s HTTP/NDESFARM fabrikam\SCEPSvc

  2. Затем отключите проверку подлинности в режиме ядра IIS для сайта.

Настройка службы ролей NDES

После завершения установки необходимо выполнить несколько действий, чтобы завершить настройку компьютера NDES.

Если NDES установлен в ЦС, у вас нет возможности выбрать ЦС, так как используется локальный ЦС.

При установке NDES на компьютере, который не является ЦС, необходимо выбрать целевой ЦС. Вы можете выбрать ЦС с помощью имени ЦС или по имени компьютера.

Чтобы выбрать ЦС, выполните следующие действия.

1. Откройте конфигурацию CS AD из диспетчер сервера.

2. Выберите центр сертификации для NDES

3. Select CA name or Computer name, and then select Select.

4. Выбор параметра определяет тип диалогового окна, представленного далее:

   • If you clicked CA name, you're presented with the Select Certification Authority dialog box, which has a list of CAs from which you can choose.

     or

   • If you clicked Computer name, you see the Select Computer dialog box where you can set the Locations and enter the computer name that you want to specify as the CA.

Теперь вы готовы выполнить настройку службы ролей NDES. Остальные шаги проверяют сведения центра регистрации и настраивают криптографию.

1. Сведения центра регистрации (RA), предоставляемые для создания сертификата подписи, выданного службе. В диспетчер сервера. Выберите сведения о RA.

2. Проверьте все поля и убедитесь, что данные RA верны (или заданы по умолчанию).

NDES использует два сертификата и их ключи для включения регистрации устройств. Организации могут использовать различные поставщики служб шифрования (ПОСТАВЩИКИ услуг) для хранения этих ключей или изменения длины ключей, используемых службой. Поддерживаются только поставщики служб криптографического программирования (CryptoAPI) для ключей RA — API шифрования; Поставщики следующего поколения (CNG) не поддерживаются.

1. Чтобы настроить криптографию, в диспетчер сервера выберите криптографию для NDES.

2. Введите значения для поставщика ключей подписи и (или) поставщика ключей шифрования и определите значения длины ключа.

3. Перейдите к мастеру, чтобы завершить установку NDES.

Теперь, когда вы настроили службу ролей, вы можете узнать подробные сведения о конфигурации и операции NDES в службе регистрации сетевых устройств (NDES) в службах сертификатов Active Directory (AD CS).

Tip

При внесении изменений в конфигурацию для NDES или в шаблоны сертификатов, которые используются службой NDES, необходимо остановить и перезапустить NDES, IIS и службу ЦС.

Next steps

• Использование модуля политики со службой регистрации сетевых устройств

• Часто задаваемые вопросы о инфраструктуре открытых ключей (PKI) служб сертификатов Active Directory (AD CS)