(0) exportieren Drucken
Alle erweitern

Leitfaden für den Registrierungsdienst für Netzwerkgeräte

Veröffentlicht: April 2012

Letzte Aktualisierung: Oktober 2013

Betrifft: Windows Server 2012, Windows Server 2012 R2



Über den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service NDES) kann Software, die ohne Netzwerk-Anmeldeinformationen auf Routern und anderen Netzwerkgeräten läuft, Zertifikate auf Basis des Simple Certificate Enrollment-Protokolls (SCEP) abrufen.

noteHinweis
SCEP wurde entwickelt, um die sichere und skalierbare Ausstellung von Zertifikaten an Netzwerkgeräte über existierende Zertifizierungsstellen (ZS) zu unterstützen. Das Protokoll unterstützt die Verteilung öffentlicher Schlüssel von ZS und Registrierungsstellen sowie Zertifikatregistrierung, Zertifikatsperren, Zertifikatabfragen und Zertifikatsperrenabfragen.

Der Registrierungsdienst für Netzwerkgeräte unterstützt die folgenden Funktionen:

  1. Generierung und Bereitstellung einmaliger Registrierungskennwörter für Administratoren

  2. Übermittlung von Registrierungsanfragen an die ZS

  3. Abrufen registrierter Zertifikate von der ZS und Weiterleitung an das Netzwerkgerät

Die folgenden Abschnitte beschreiben die verschiedenen Konfigurationsoptionen, die Sie nach der Installation der binären NDES-Installationsdateien auswählen können.

NDES kann als eine der folgenden Optionen ausgeführt werden:

  • Ein Benutzerkonto, das als Dienstkonto konfiguriert ist

  • Die integrierte Anwendungspool-Identität des Internetinformationsdienste (IIS)-Computers

Wenn Sie die integrierte Anwendungspool-Identität auswählen, wird keine zusätzliche Konfiguration benötigt. Microsoft empfiehlt jedoch die Verwendung eines Benutzerkontos. In diesem Fall müssen Sie zusätzliche Konfigurationen vornehmen. Das als NDES-Dienstkonto angegebene Benutzerkonto muss die folgenden Anforderungen erfüllen:

  • Es muss sich um ein Domänen-Benutzerkonto handeln

  • Es muss Mitglied der lokalen IIS_IUSRS-Gruppe sein

  • Es muss Anfrageberechtigungen für die konfigurierte ZS haben

  • Es muss Lese- und Registrierungsberechtigungen für die NDES-Zertifikatvorlage haben, die automatisch konfiguriert wird

  • In Active Directory muss ein Dienstprinzipalname (Service Principal Name SPN) existieren

  1. Melden Sie sich am Domänencontroller bzw. am Verwaltungscomputer an, auf dem die Remoteserver-Verwaltungstools für Active Directory-Domänendienste installiert sind. Öffnen Sie Active Directory-Benutzer und -Computer mit einem Konto, das die Berechtigungen zum Erstellen neuer Benutzer in der Domäne hat.

  2. Erweitern Sie die Konsolenstruktur, bis der Container angezeigt wird, in dem Sie das Benutzerkonto erstellen möchten. Manche Organisationen haben z. B. eine Dienst-OU oder ein ähnliches Konto. Klicken Sie mit der rechten Maustaste auf den Container, anschließend auf Neu und auf Benutzer.

  3. Geben Sie in den Textfeldern Neues Objekt - Benutzer die entsprechenden Namen für alle Felder ein, sodass klar ist, dass Sie ein Benutzerkonto erstellen. Beachten Sie die Richtlinien Ihrer Organisation für die Erstellung von Dienstkonten, falls solche Richtlinien existieren. Geben Sie z. B. die folgenden Daten ein und klicken Sie auf Weiter.

    1. Vorname: Ndes

    2. Nachname: Service

    3. Benutzeranmeldename: NdesService

  4. Richten Sie ein komplexes Kennwort für das Konto ein und bestätigen Sie das Kennwort. Konfigurieren Sie die Kennwortoptionen gemäß der Sicherheitsrichtlinien Ihrer Organisation für Dienstkonten. Falls das Kennwort nach einer bestimmten Zeit verfällt, sollten Sie einen Mechanismus einrichten, um sicherzustellen, dass Sie das Kennwort im korrekten Intervall ändern.

  5. Klicken Sie auf Weiter und dann auf Fertig stellen.

TipTipp
  • Sie können auch das New-ADUser Windows PowerShell®-Cmdlet zum Erstellen eines Domänen-Benutzerkontos verwenden.

  • Je nach Ihrer Active Directory-Domänendienste (AD DS)-Konfiguration können Sie evtl. ein verwaltetes Dienstkonto oder ein gruppenverwaltetes Dienstkonto für NDES einrichten. Weitere Informationen zu verwalteten Dienstkonten finden Sie unter Verwaltete Dienstkonten. Weitere Informationen zu gruppenverwalteten Dienstkonten finden Sie unter Gruppenverwaltete Dienstkonten.

  1. Öffnen Sie die Computerverwaltung (compmgmt.msc) auf dem Server, der den NDES-Dienst hostet.

  2. Erweitern Sie in der Konsolenstruktur in der Computerverwaltung unter Systemtools den Knoten Lokale Benutzer und Gruppen. Klicken Sie auf Gruppen.

  3. Doppelklicken Sie im Detailbereich auf IIS_IUSRS.

  4. Klicken Sie auf der Registerkarte Allgemein auf Hinzufügen.

  5. Geben Sie im Textfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen den Benutzeranmeldenamen des Kontos ein, das Sie für die Verwendung als Dienstkonto konfiguriert haben.

  6. Klicken Sie auf Namen überprüfen, klicken Sie zwei mal auf OK und schließen Sie die Computerverwaltung.

TipTipp
Alternativ können Sie net localgroup IIS_IUSRS <domain>\<username> /Add verwenden, um das NDES-Dienstkonto zur lokalen IIS_IUSRS-Gruppe hinzuzufügen. Eingabeaufforderung bzw. Windows PowerShell muss als Administrator ausgeführt werden. Weitere Informationen finden Sie unter Hinzufügen eines Mitglieds zu einer lokalen Gruppe.

  1. Öffnen Sie auf der ZS, die von NDES verwendet werden soll, die Zertifizierungsstellenkonsole mit einem Konto, das über Berechtigungen zur Verwaltung der Zertifizierungsstelle verfügt.

  2. Öffnen Sie die Zertifizierungsstellenkonsole. Klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle und klicken Sie auf Eigenschaften.

  3. Auf der Registerkarte Sicherheit sehen Sie die Konten, die Berechtigungen zum Anfordern von Zertifikaten haben. Standardmäßig hat die Gruppe Authentifizierte Benutzer diese Berechtigung. Das von Ihnen erstellte Dienstkonto wird Mitglied der Gruppe Authentifizierte Benutzer sein, wenn es verwendet wird. Wenn die Gruppe Authentifizierte Benutzer bereits über die Berechtigung zum Anfordern von Zertifikaten verfügt, müssen Sie keine weiteren Berechtigungen vergeben. Wenn dies jedoch nicht der Fall ist, sollten Sie dem NDES-Dienstkonto die Berechtigung zum Anfordern von Zertifikaten für die ZS erteilen. Gehen Sie hierzu wie folgt vor:

    • Klicken Sie auf Hinzufügen.

    • Geben Sie im Textfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen den Namen des NDES-Dienstkontos ein, klicken Sie auf Namen überprüfen und anschließend auf OK.

    • Vergewissern Sie sich, dass das NDES-Dienstkonto ausgewählt ist. Vergewissern Sie sich, dass das entsprechende Erlauben-Kontrollkästchen für Zertifikate anfordern markiert ist. Klicken Sie auf OK.

  1. Vergewissern Sie sich, dass Sie ein Konto verwenden, das Mitglied der Gruppe Domänen-Admins ist. Öffnen Sie Windows PowerShell oder eine Eingabeaufforderung als Administrator.

  2. Mit der folgenden Syntax können Sie den Dienstprinzipalnamen (SPN) für das NDES-Dienstkonto registrieren: setspn -s http/<computername> <domainname>\<accountname>. Verwenden Sie z. B. den folgenden Befehl, um ein Dienstkonto mit dem Anmeldenamen NdesServices in der Domäne cpandl.com zu registrieren, das auf einem Computer mit dem Namen CA1 läuft: setspn -s http/CA1.cpandl.com cpandl\NdesService

Sie müssen eine ZS auswählen, die der NDES-Dienst beim Ausstellen von Zertifikaten an Clients verwendet. Falls NDES auf einer ZS installiert ist, können Sie die ZS nicht auswählen, da automatisch die lokale ZS verwendet wird. Wenn NDES auf einem Computer installiert ist, der keine ZS ist, müssen Sie die Ziel-ZS auswählen. Sie können die ZS entweder über den ZS-Namen oder den Computernamen auswählen. Klicken Sie auf ZS-Name oder Computername und anschließend auf Auswählen. Die ausgewählte Option bestimmt, welches Dialogfeld im Anschluss angezeigt wird.

  • Wenn Sie auf ZS-Name geklickt haben, wird das Dialogfeld Zertifizierungsstelle auswählen mit einer Liste von ZS angezeigt, aus der Sie eine Auswahl treffen können.

  • Wenn Sie auf Computername geklickt haben, wird das Dialogfeld Computer auswählen angezeigt, in dem Sie die Standorte auswählen und den Computernamen eingeben können, den Sie als ZS verwenden möchten.

Die Seite Registrierungsstelleninformationen enthält alle optionalen und Pflichtfelder zum Einrichten des Diensts als Registrierungsstelle. Die hier eingegebenen Daten werden bei der Erstellung des Signierungszertifikats verwendet, das an den Dienst ausgestellt wird.

Der Registrierungsdienst für Netzwerkgeräte verwendet zwei Zertifikate und deren Schlüssel für die Geräteregistrierung. Manche Organisationen verwenden unterschiedliche Kryptografiedienstanbieter (CSPs) zur Speicherung dieser Schlüssel, oder ändern die Länge der von diesem Dienst verwendeten Schlüssel. Nur Kryptografie-API-Dienstanbieter werden für die Registrierungsstellenschlüssel-Kryptografie-API unterstützt: Next Generation (CNG)-Anbieter werden nicht unterstützt.

Weitere Informationen zu NDES-Konfiguration und -Betrieb finden Sie im Microsoft TechNet-Artikel Registrierungsdienst für Netzwerkgeräte (NDES) in Active Directory-Zertifikatdiensten (AD CS).

Informationen zur drahtlosen Registrierung mobiler Geräte finden Sie unter Using a Policy Module with the Network Device Enrollment Service.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft