ネットワーク デバイス登録サービスのガイダンス

  • [アーティクル]

 

公開日: 2016年9月

対象: Windows Server 2012 R2、Windows Server 2012

ネットワーク デバイス登録サービス (NDES) により、ドメイン資格情報なしで実行されているルーターおよびその他のネットワーク デバイス上のソフトウェアが SCEP (Simple Certificate Enrollment Protocol) に基づいて証明書を取得できるようになります。

注意


SCEP は既存の証明機関 (CA) を使用してネットワーク デバイスに対するセキュリティで保護されたスケーラブルな証明書発行をサポートするために開発されました。 このプロトコルは CA および登録機関の公開キー配布、証明書登録、証明書失効、証明書クエリ、および証明書失効クエリをサポートします。

ネットワーク デバイス登録サービスは、次の機能を実行します。

  1. ワンタイム登録パスワードの生成および管理者への提供

  2. CA に対する登録要求の送信

  3. CA からの登録済証明書の取得およびネットワーク デバイスへの転送

NDES 構成設定

次のセクションでは NDES バイナリ インストール ファイルのインストール後に選択できる構成オプションについて説明します。

NDES のサービス アカウントの構成

NDES は次のどちらかとして実行するように構成できます。

  • サービス アカウントとして指定されているユーザー アカウント

  • インターネット インフォメーション サービス (IIS) コンピューターの組み込みアプリケーション プール ID

組み込みアプリケーション プール ID を選択した場合、追加の構成は必要ありません。 ただし、追加の構成を必要とするユーザー アカウントを指定する構成が推奨されます。 NDES サービス アカウントとして指定されたユーザー アカウントは、次の要件を満たす必要があります。

  • ドメイン ユーザー アカウントである

  • ローカルの IIS_IUSRS グループのメンバーである

  • 構成された CA に対する要求権限を持つ

  • 自動的に構成される NDES 証明書テンプレートに対する読み取りおよび登録権限を持つ

  • Active Directory にサービス プリンシパル名 (SPN) が設定されている

NDES サービス アカウントとして動作するドメイン ユーザー アカウントを登録する場合

  1. Active Directory ドメイン サービス リモート サーバー管理ツールがインストールされたドメイン コントローラーまたは管理コンピューターにサインインします。 ユーザーをドメインに追加する権限を持つアカウントを使用して [Active Directory ユーザーとコンピューター] を開きます。

  2. コンソール ツリーで、ユーザー アカウントを作成するコンテナーが表示されるまで構造を展開します。 たとえば、一部の組織にはサービス OU または類似のアカウントがあります。 コンテナーを右クリックして、[新規作成] をクリックし、[ユーザー] をクリックします。

  3. [新しいオブジェクト - ユーザー] テキスト ボックスに、ユーザー アカウントの作成が明確になるようにすべてのフィールドに適切な名前を入力します。 サービス アカウントの作成に関する組織のポリシーがある場合は、必ず従います。 たとえば、次を入力して、[次へ] をクリックします。

    1. []:Ndes

    2. []:サービス

    3. [ユーザー ログオン名]:NdesService

  4. アカウントに複雑なパスワードを設定し、パスワードを確定します。 サービス アカウントに関する組織のセキュリティ ポリシーに対応するパスワード オプションを構成します。 有効期限のあるパスワードを構成する場合、必要な間隔でパスワードがリセットされるプロセスが用意されます。

  5. [次へ] をクリックし、[完了] をクリックします。

ヒント

  • New-ADUser Windows PowerShell® コマンドレットを使用して、ドメイン ユーザー アカウントを追加することもできます。
  • Active Directory ドメイン サービス (AD DS) の構成によっては、管理されたサービス アカウント、またはグループの管理されたサービス アカウントを NDES に実装できる場合もあります。 管理されたサービス アカウントの詳細については、「管理されたサービス アカウント」を参照してください。 グループの管理されたサービス アカウントの詳細については、「グループの管理されたサービス アカウントの概要」を参照してください。
NDES のサービス アカウントをローカルの IIS_IUSERS グループに追加する場合

  1. NDES サービスをホストしているサーバー上で [コンピューターの管理] (compmgmt.msc) を開きます。

  2. [コンピューターの管理] コンソール ツリーの [システム ツール] で、[ローカル ユーザーとグループ] を展開します。 [グループ] をクリックします。

  3. 詳細ウィンドウで、[IIS_IUSRS] をダブルクリックします。

  4. [全般] タブで、[追加] をクリックします。

  5. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] テキスト ボックスに、サービス アカウントとして構成するアカウントのユーザー サインイン名を入力します。

  6. [名前の確認] をクリックし、[OK] を 2 回クリックしてから、[コンピューターの管理] を閉じます。

ヒント


net localgroup IIS_IUSRS <domain>\<username> /Add を使用して、NDES サービス アカウントをローカルな IIS_IUSRS グループに追加することもできます。 コマンド プロンプトまたは Windows PowerShell が管理者として実行されている必要があります。 詳細については、「メンバーをローカル グループに追加する」を参照してください。

CA に対する要求権限を使用して NDES サービス アカウントを構成する場合

  1. NDES で使用される CA で、CA 管理権限を持つアカウントを使用して証明機関コンソールを開きます。

  2. 証明機関コンソールを開きます。 証明機関を右クリックし、[プロパティ] をクリックします。

  3. [セキュリティ] タブに証明書の要求権限を持つアカウントが表示されます。 既定では、グループ [Authenticated Users] にこの権限があります。 作成したサービス アカウントは、使用中に [Authenticated Users] のメンバーになります。 [Authenticated Users] に証明書の要求権限がある場合は、追加の権限を付与する必要はありません。 ただし、この権限がない場合は、CA で NDES サービス アカウントに証明書の要求権限を付与する必要があります。 そのためには、次の操作を実行します。

    • [追加] をクリックします。

    • [ユーザー、コンピューター、サービス アカウントまたはグループの選択] テキスト ボックスで、NDES サービス アカウント名を入力し、[名前の確認] をクリックしてから、[OK] をクリックします。

    • NDES サービス アカウントが選択されていることを確認します。 [証明書の要求] に対して [許可] チェック ボックスが選択されていることを確認します。 [OK] をクリックします。

NDES サービス アカウントのサービス プリンシパル名を設定する場合

  1. Domain Admins グループのメンバーであるアカウントを使用していることを確認します。Windows PowerShell またはコマンド プロンプトを管理者として開きます。

  2. コマンド構文 setspn -s http/<computername> <domainname>\<accountname> を使用して、NDES サービス アカウントのサーバー プリンシパル名 (SPN) を登録します。 たとえば、CA1 という名前のコンピューターで実行されている cpandl.com ドメインにサインイン名 NdesService のサービス アカウントを登録する場合は、次のコマンドを実行します。setspn -s http/CA1.cpandl.com cpandl\NdesService

NDES の CA の選択

証明書をクライアントに発行する際に使用する NDES サービスの CA を選択する必要があります。 NDES が CA にインストールされている場合は、ローカルの CA が使用されるため、CA を選択することができません。 CA ではないコンピューターに NDES をインストールする場合は、ターゲットの CA を選択する必要があります。 CA は CA の名前またはコンピューター名で選択することができます。 [CA 名] または [コンピューター名] を選択してから、[選択] をクリックします。 選択したオプションによって、次に表示されるダイアログ ボックスの種類が決まります。

  • [CA 名] をクリックした場合、選択可能な CA の一覧が含まれる [証明機関の選択] ダイアログ ボックスが表示されます。

  • [コンピューター名] をクリックすると、[コンピューターの選択] ダイアログ ボックスが表示され、ここで [場所] を設定し、CA として指定するコンピューター名を入力することができます。

RA 情報の設定

[RA 情報] ページに、サービスを RA として設定するために必要なフィールドおよびオプションのフィールドがすべて収集されます。 ここに指定する情報は、サービスに対して発行される署名証明書を作成するために使用されます。

NDES の暗号化の構成

ネットワーク デバイス登録サービスは、デバイス登録を有効化するために 2 つの証明書とそのキーを使用します。 組織によってはこれらのキーを格納するために異なる暗号化サービス プロバイダー (CSP) を使用したり、サービスによって使用されるキーの長さを変更したりする場合があります。 RA キーでは Cryptographic Application Programming Interface (CryptoAPI) サービス プロバイダーのみがサポートされます。Next Generation (CNG) プロバイダーはサポートされません。

NDES 構成の完了

NDES の構成および操作の詳細については、Microsoft Technet の記事「Active Directory 証明書サービス (AD CS) のネットワーク デバイス登録サービス (NDES)」で確認できます。

無線によるモバイル デバイスの登録が必要な場合は、「ポリシー モジュールとネットワーク デバイス登録サービスの使用」を参照してください。

注意


NDES の構成を変更した場合、または NDES によって使用される証明書テンプレートを変更した場合は、NDES、IIS、CA サービスを停止して再度開始する必要があります。

関連するコンテンツ