Servizi certificati Active Directory: Servizio Registrazione dispositivi di rete

Registrazione dispositivi di rete funziona come filtro ISAPI (Internet Server Application Programming Interface) su Internet Information Services (IIS) che esegue le funzioni seguenti:

• Genera e fornisce agli amministratori password di registrazione singole.
  
  
• Riceve ed elabora richieste di registrazione SCEP per conto di software in esecuzione su dispositivi di rete.
  
  
• Recupera richieste in sospeso dall'Autorità di certificazione.
  
  

Questa funzionalità si applica a organizzazioni che dispongono di infrastrutture a chiave pubblica con una o più Autorità di certificazione basate su Windows Server® 2008 e che desiderano migliorare la protezione delle comunicazioni mediante la protezione IP (IPsec) con dispositivi di rete quali router e commutatori.

L'aggiunta del supporto per Registrazione dispositivi di rete consente di migliorare notevolmente la flessibilità e la scalabilità dell'infrastruttura a chiave pubblica di un'organizzazione. Questa funzionalità è importante per architetti, addetti alla pianificazione e amministratori di infrastrutture a chiave pubblica.

È consigliabile che le organizzazioni e i professionisti interessati a Registrazione dispositivi di rete acquisiscano familiarità con le specifiche SCEP su cui tale componente si basa.

SCEP è stato sviluppato da Cisco Systems, Inc. come estensione a HTTP, PKCS #10, PKCS #7, RFC 2459 e altri standard per consentire la registrazione di certificati CA per dispositivi e applicazioni di rete.

In Windows Server 2003, Microsoft® SCEP (MSCEP) è un componente aggiuntivo di Windows Server 2003 Resource Kit installato nello stesso server dell'Autorità di certificazione. In Windows Server 2008, il supporto per MSCEP è stato ridenominato Registrazione dispositivi di rete e fa parte del sistema operativo. Esso può essere installato in un computer diverso da quello dell'Autorità di certificazione.

L'estensione Registrazione dispositivi di rete per IIS utilizza il Registro di sistema per archiviare le impostazioni di configurazione. Tutte le impostazioni sono archiviate in una chiave del Registro di sistema:

HKEY_LOCAL_ROOT\Software\Microsoft\Cryptography\MSCEP

Nella tabella seguente sono definite le chiavi del Registro di sistema utilizzate per configurare MSCEP:

Nome impostazione	Facoltativa Si/No	Valore predefinito	Valori possibili
Refresh	No	7	Numero di giorni durante i quali le richieste in sospeso sono mantenute nel database di Registrazione dispositivi di rete.
EnforcePassword	No	1	Definisce se le password sono necessarie per le richieste di registrazione. Il valore 1 indica che Registrazione dispositivi di rete richiede una password per le richieste di registrazione. Il valore 0 (zero) indica che le password non sono necessarie.
PasswordMax	No	5	Numero massimo di password disponibili memorizzabili nella cache. Nota Nelle versioni precedenti il valore predefinito è 1.000.
PasswordValidity	No	60	Numero di minuti di validità di una password.
PasswordVDir	Sì		Nome della directory virtuale utilizzabile per le richieste di password. Se questa opzione è impostata, Registrazione dispositivi di rete accetta solo le richieste di password dalla directory virtuale definita. Se il valore è vuoto o non configurato, Registrazione dispositivi di rete accetta richieste di password da qualsiasi directory virtuale.
CacheRequest	No	20	Numero di minuti durante i quali i certificati rilasciati sono mantenuti nel database di SCEP.
CAType	No	In base alle impostazioni	Identifica il tipo di CA a cui è collegato Registrazione dispositivi di rete. Il valore 1 indica che si tratta di un'Autorità di certificazione dell'organizzazione (enterprise), il valore 0 che si tratta di un'Autorità di certificazione autonoma (standalone).
SigningTemplate	Sì	Non impostata	Se questa chiave è impostata. Registrazione dispositivi di rete utilizza il valore come nome del modello di certificati per i client che eseguono la registrazione di un certificato di firma.
EncryptionTemplate	Sì	Non impostata	Se questa chiave è impostata, Registrazione dispositivi di rete utilizza il valore come nome del modello di certificati per i client che eseguono la registrazione di un certificato di crittografia.
SigningAndEncryptionTemplate	Sì	Non impostata	Se questa chiave è impostata, Registrazione dispositivi di rete utilizza il valore come nome del modello di certificato per i client che eseguono la registrazione di un certificato di firma e crittografia oppure quando la richiesta non include alcun utilizzo chiavi avanzato.

Prima di installare Registrazione dispositivi di rete, è necessario stabilire quanto segue:

• Se impostare un account utente dedicato per il servizio oppure utilizzare l'account Servizio di rete.
  
  
• Il nome dell'autorità di registrazione di Registrazione dispositivi di rete e il paese da utilizzare. Queste informazioni sono incluse nei certificati MSCEP rilasciati.
  
  
• Il provider del servizio di crittografia da utilizzare per la chiave di firma necessaria per crittografare le comunicazioni tra la CA e l'autorità di registrazione.
  
  
• Il provider del servizio di crittografia da utilizzare per la chiave di crittografia necessaria per crittografare le comunicazioni tra l'autorità di registrazione e il dispositivo di rete.
  
  
• La lunghezza di ognuna di queste chiavi.
  
  

È inoltre necessario creare e configurare il modello di certificato per i certificati utilizzati con Registrazione dispositivi di rete.

L'installazione di Registrazione dispositivi di rete crea una nuova autorità di registrazione ed elimina eventuali certificati di autorità di registrazione pre-esistenti nel computer. Se pertanto si intende installare Registrazione dispositivi di rete in un computer nel quale è stata configurata un'altra autorità di registrazione, eventuali richieste di certificati in sospeso dovranno essere elaborate e gli eventuali certificati non richiesti dovranno essere richiesti prima di installare il componente.

Per informazioni su altre funzionalità di Servizi certificati Active Directory, vedere Ruolo Servizi certificati Active Directory.