將「網路裝置註冊服務」設定為使用網域使用者帳戶

  • 發行項

適用於:Windows Server (所有支援的版本)

建議您設定 NDES 來指定使用者帳戶,這需要額外的步驟。 如果您選取內建應用程式集區身分識別,就不需要進行其他設定。

在本文中,了解如何設定「網路裝置註冊服務 (NDES)」以特定服務帳戶的形式執行。

NDES 可讓路由器和其他網路裝置依據「簡單憑證註冊通訊協定 (SCEP)」,在未使用網域認證的情況下,取得憑證。

SCEP 的開發目的是使用現有憑證授權單位 (CA) 來支援安全且可擴充的網路裝置憑證簽發。 該通訊協定支援 CA 和註冊中心公開金鑰分發、註冊和憑證撤銷查詢。

如需 NDES 及其如何使用「簡單憑證註冊通訊協定」來搭配憑證運作的詳細資訊,請參閱什麼是 Active Directory 憑證服務的網路裝置註冊服務?

必要條件

安裝 Active Directory 憑證服務 (AD CS) 的 NDES 角色服務之後,請確認您符合下列必要條件:

  • 必須是網域使用者帳戶。

  • 必須是本機 IIS_IUSRS 群組的成員。

  • 在設定的憑證授權單位 (CA) 上具備要求權限。

  • 在 NDES 憑證範本上具備讀取和註冊權限 (這是自動設定的)。

  • 如果您使用 CNAME 或負載平衡的網路名稱,請在 Active Directory 網域服務中設定服務主體名稱 (SPN)。

建立網域使用者帳戶來做為 NDES 服務帳戶

接著,您需要建立網域使用者帳戶來做為 NDES 服務帳戶。

  1. 登入已安裝 Active Directory 網域服務遠端伺服器管理工具的網域控制站或管理電腦。 使用具備新增使用者至網域之權限的帳戶開啟 [Active Directory 使用者和電腦]

  2. 在主控台樹狀目錄中展開結構,直到您看到您要在其中建立使用者帳戶的容器。 例如,某些組織有服務 OU 或類似的帳戶。 以滑鼠右鍵按一下容器,選取 [新增],然後選取 [使用者]

  3. 在 [新增物件 - 使用者] 文字方塊中,針對所有欄位輸入適當的名稱,這表示您正在建立使用者帳戶。 請務必依照貴組織的服務帳戶建立原則執行 (如果有的話)。 例如,您可以輸入以下資訊,然後選取 [下一步]

    • 名字Ndes

    • 姓氏服務

    • 使用者登入名稱NdesService

  4. 確定您已為帳戶設定複雜的密碼,然後確認密碼。 設定與貴組織服務帳戶有關之安全性原則相對應的密碼選項。 如果密碼有設定到期時間,您應設定密碼重設程序,以確保在所需的間隔時間內重設密碼。

  5. 選取 [下一步],然後選取 [完成]

提示

  • 您也可以使用 New-ADUser Windows PowerShell 命令來新增網域使用者帳戶。

  • 視您的 Active Directory 網域服務 (AD DS) 設定而定,您可以為 NDES 實作受管理的服務帳戶或群組受管理的服務帳戶。 如需有關「受管理的服務帳戶」的詳細資訊,請參閱< 受管理的服務帳戶>。 如需有關「群組受管理的服務帳戶」的詳細資訊,請參閱< 群組受管理的服務帳戶概觀>

將 NDES 服務帳戶新增至本機 IIS_IUSRS 群組

成功建立網域使用者帳戶作為 NDES 服務帳戶之後,您必須將此 NDES 服務帳戶新增至本機 IIS_IUSRS 群組。

  1. 在裝載 NDES 服務的伺服器上,開啟 [電腦管理] (compmgmt.msc)。

  2. 在 [電腦管理] 主控台樹狀目錄中的 [系統工具] 下,展開 [本機使用者和群組] 。 選取群組

  3. 在詳細資料窗格中,選取 [IIS_IUSRS]

  4. 在 [一般] 索引標籤中,選取 [新增]

  5. 在 [選取使用者、電腦、服務帳戶或群組] 文字方塊中,輸入您設定為服務帳戶之帳戶的使用者登入名稱。

  6. 選取 [檢查名稱],選取 [確定] ,然後關閉 [電腦管理]

提示

您也可以使用 net localgroup IIS_IUSRS <domain>\<username> /Add,將 NDES 服務帳戶新增至本機 IIS_IUSRS 群組。 命令提示字元或 Windows PowerShell 必須以管理員身分執行。 如需詳細資訊,請參閱 Add-LocalGroupMember] PowerShell 命令。

設定 CA 的要求權限

NDES 服務帳戶需要要求 NDES 使用的 CA 權限。

  1. 在 NDES 要使用的 CA 中,以具備「管理 CA」權限的帳戶開啟 CA 主控台。

  2. 開啟 [憑證授權單位] 主控台。 以滑鼠右鍵按一下 CA,然後選取 [屬性]

  3. 在 [安全性] 索引標籤上,您可以看到具備「要求憑證」權限的帳戶。 [已驗證的使用者] 群組預設具備此權限。 您建立的服務帳戶會在使用時成為 [已驗證的使用者] 的成員。 如果 [已驗證的使用者] 具備「要求憑證」權限,您就不需要授與更多權限。 但是,如果不是這樣,您就應該在 CA 中將「要求憑證」權限授與 NDES 服務帳戶。 若要這麼做︰

    • 選取新增

    • 在 [選取使用者、 電腦、 服務帳戶或群組] 文字方塊中,輸入 NDES 服務帳戶的名稱,接著選取 [檢查名稱],然後選取 [確定]

    • 確定已選取 NDES 服務帳戶。 確定已選取和 [要求憑證] 相對應的 [允許] 核取方塊。 選取 [確定]。

確認是否需要為 NDES 設定服務主體名稱

如果您使用負載平衡器或虛擬名稱,則必須在 Active Directory 中設定服務主體名稱 (SPN)。 在本節中,了解如何判斷是否需要在 Active Directory 中設定 SPN。

  • 如果您使用單一 NDES 伺服器及其實際主機名稱 (最常見的案例),則帳戶不需要註冊 SPN。 電腦帳戶預設的 SPN for HOST/computerFQDN 涵蓋此案例。 如果您使用所有其他預設值 (特別是在 IIS 核心模式驗證方面),您可以直接跳到本文的下一節。

  • 如果您使用自訂 A 記錄作為主機名稱,或使用虛擬 IP 進行負載平衡,則必須針對 NDES 服務帳戶 (SCEPSvc) 註冊 SPN。 若要向 NDES 服務帳戶註冊 SPN:

    1. 輸入命令時,請使用 Setspn 命令語法:Setspn -s HTTP/<computerfqdn> <domainname\accountname>。 例如,您的網域是 Fabrikam.com、您的 NDES CNAME 是 NDESFARM,而您使用的服務帳戶名為 SCEPSvc。 在此範例中,您會執行下列命令。

      • Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvc
      • Setspn -s HTTP/NDESFARM fabrikam\SCEPSvc

    2. 然後停用網站的 IIS 核心模式驗證。

設定 NDES 角色服務

安裝完成之後,您必須執行幾個步驟來完成 NDES 電腦的設定。

如果 NDES 已安裝在 CA 上,您就不需要選取 CA,因為已使用本機 CA。

當您將 NDES 安裝在不是 CA 的電腦上時,您必須選取目標 CA。 您可以使用 CA 名稱或根據電腦名稱選取 CA。

若要選取 CA:

  1. 從伺服器管理員開啟 AD CS 設定。

  2. 選取 [NDES 的 CA]

  3. 選取 [CA 名稱] 或 [電腦名稱],然後選取 [選取]

  4. 您選擇的選項會決定下一個顯示之對話方塊的類型:

    • 如果您是按一下 [CA名稱],將會看到 [選取憑證授權單位] 對話方塊,其中有可供您選擇 CA 的 CA 清單。

    • 如果您是按一下 [電腦名稱] ,則會看到 [選取電腦] 對話方塊,您可以在該對話方塊中設定 [位置] 並輸入您要指定為 CA 的電腦名稱。

您現在已準備好完成 NDES 角色服務的設定。 其餘步驟是驗證註冊授權單位資訊及設定密碼編譯。

  1. 登錄授權單位 (RA) 資訊將用來建構簽發給服務的簽署憑證。 在伺服器管理員中。 選取 RA 資訊。

  2. 檢查所有欄位,並確認 RA 資訊正確 (或設定為預設值)。

NDES 會使用兩個憑證與其金鑰來啟用裝置註冊。 組織可以使用不同的密碼編譯服務服務提供者 (CSP) 來儲存這些金鑰,或變更服務所使用之金鑰的長度。 對於 RA 金鑰,只支援密碼編譯應用程式開發介面 (CryptoAPI) 服務提供者,不支援密碼編譯 API:新一代 (CNG) 提供者。

  1. 若要設定密碼編譯,請在 [伺服器管理員] 中,選取 [NDES 的密碼編譯]。

  2. 輸入簽章金鑰提供者和/或加密金鑰提供者的值,並決定金鑰長度值。

  3. 繼續執行精靈以完成 NDES 的安裝。

現在,您已設定角色服務,如需 NDES 設定和作業的詳細資訊,請參閱 Active Directory 憑證服務 (AD CS) 中的「網路裝置註冊服務」(NDES)

提示

如果您對 NDES 或 NDES 使用之憑證進行設定變更,您必須停止並重新啟動 NDES、IIS 和 CA 服務。

下一步