什麼是 Active Directory 憑證服務的網路裝置註冊服務?
「網路裝置註冊服務」(NDES) 是 Active Directory 憑證服務 (AD CS) 的角色服務之一。 NDES 可充當一個「憑證註冊中心」,以讓在沒有網域憑證的情況下執行的路由器和其他網路裝置上的軟體能夠取得基於「簡單憑證註冊通訊協定」(SCEP) 的憑證。
SCEP 可定義網路裝置與憑證註冊的「憑證註冊中心」之間的通訊協定。 它致力於以一種可調整的方式來支援向網路裝置頒發安全的憑證 (在具有可信任端點的封閉網路中使用現有的技術)。 如需 SCEP 的詳細資訊,請參閱 RFC 8894 簡單憑證註冊通訊協定。
瞭解「網路裝置註冊服務」
SCEP 是一個解決方案,它可以讓未以網域認證執行的網路裝置向「憑證授權中心」(CA) 註冊申請 x509 版本 3 憑證。 NDES 可為任何網路裝置提供由 CA 頒發的私鑰以及關聯憑證。 裝置上的應用程式可以使用該金鑰及其關聯的憑證來與網路上的其他實體進行互動。 NDES 頒發的憑證在網路裝置上最常見的用途是在 IPSec 工作階段中驗證該裝置。
SCEP 的開發目的是使用現有憑證授權單位 (CA) 來支援安全且可擴充的網路裝置憑證簽發。 該通訊協定支援 CA 和註冊中心公鑰分發、註冊和憑證撤銷查詢。
NDES 會執行下列功能:
產生並提供一次性註冊密碼給系統管理員。
將註冊要求提交到 CA。
從 CA 擷取註冊的憑證並將它們轉送給網路裝置。
NDES 會以 Internet Server API (ISAPI) 擴充功能的形式來進行實作。 它需求在同一台電腦上安裝 Internet Information Services (IIS) 角色。 它不需要在同一台電腦上安裝 CA。 ISAPI 擴充功能會在自己的應用程式集區 (即 SCEP) 中執行。 此應用程式集區會在安裝期間建立,並設定為使用安裝期間所提供的認證來執行。
SCEP 規格不需要裝置支援 TLS。 但是,從該服務中擷取一次性密碼的過程應使用 TLS 來進行保護。 安裝程式會建立兩個虛擬應用程式:一個用於裝置,另一個用於系統管理員。
- 裝置通訊位置:
https://<hostname>/certsrv/mscep - 系統管理員註冊密碼擷取位置:
https://<hostname>/certsrv/mscep_admin
在將裝置的註冊要求轉送到 CA 之前,該服務會使用密碼來驗證該裝置。 密碼是透過呼叫系統管理虛擬應用程式來取得的。
透過「網路裝置註冊服務」註冊憑證是一個直接的流程:
裝置從 /certsrv/mscep Web 端點中取得一組 RSA 公鑰和私鑰。
系統管理員從「網路裝置註冊服務」中取得密碼。
系統管理者使用密碼設定裝置,並將其設定為信任企業 PKI /certserv/mscep_admin Web 端點。
設定裝置來將註冊要求傳送至 NDES。
NDES 使用註冊代理程式憑證簽署註冊要求,並將其傳送至 CA。
CA 頒發憑證。
裝置向 NDES 擷取頒發的憑證。
NDES 組態設定
安裝 NDES 角色服務之後,NDES 可以設定為以下任一方式執作:
指定為服務帳戶的使用者帳戶
網際網路資訊服務 (IIS) 電腦的內建應用程式集區身分識別
下一步
現在您已經了解了 NDES 的作用,有一些文章可幫助您順利配置及執行 NDES。
如果您需要透過無線方式註冊行動裝置,請參閱< Using a Policy Module with the Network Device Enrollment Service>。
如需 NDES 設定和作業的詳細資訊,請參閱 Active Directory 憑證服務 (AD CS) 中的「網路裝置註冊服務」(NDES)。