Documentação de Orientação do Serviço de Inscrição de Dispositivos de Rede

  • Artigo

 

Publicado: setembro de 2016

Aplica-se A: Windows Server 2012 R2, Windows Server 2012

O NDES (Serviço de Inscrição de Dispositivos de Rede), i.e., Network Device Enrollment Service, permite que software de routers e outros dispositivos de rede em execução sem credenciais de domínio obtenham certificados com base no SCEP (Protocolo Simples de Inscrição de Certificados), i.e., Simple Certificate Enrollment Protocol.

Nota


O Protocolo SCEP foi desenvolvido para oferecer apoio à emissão segura e escalável de certificados em dispositivos de rede ao utilizar Autoridades de Certificação (ACs) existentes. O protocolo oferece apoio às ACs e à distribuição de chave pública para registo de autoridade, à inscrição de certificado, à revogação de certificado, a consultas de certificado e consultas de revogação de certificado.

O Serviço de Inscrição de Dispositivos de Rede realiza as seguintes funções:

  1. Gera e fornece palavras-passe de inscrição únicas aos administradores

  2. Envia pedidos de inscrição para a AC

  3. Recupera certificados registados da AC e encaminha-os para o dispositivo de rede

Definições de configuração NDES

As secções a seguir descrevem as opções de configuração que pode selecionar depois de instalar os ficheiros de instalação binária NDES.

Configurar uma conta de serviço para NDES

O NDES pode ser configurado para ser executado como um dos seguintes:

  • Uma conta de utilizador que é especificada como uma conta de serviço

  • A identidade de conjunto aplicacional interno do computador do IIS (Internet Information Services)

Se selecionar a identidade de conjunto aplicacional interno não é necessária configuração adicional. No entanto, a configuração recomendada exige que especifique uma conta de utilizador, o que requer configuração adicional. A conta de utilizador que é especificada como a conta de serviço NDES deve atender aos seguintes requisitos:

  • Ser uma conta de utilizador de domínio

  • Ser um membro do grupo local IIS_IUSRS

  • Ter permissões de Pedido na AC configurada

  • Ler e Registar permissões no modelo de certificado NDES, que é configurado automaticamente

  • Ter um conjunto de SPN (Nome do Principal do Serviço) no Active Directory

Para criar uma conta de utilizador de domínio para atuar como a conta de serviço NDES

  1. Inicie sessão no controlador de domínio ou no computador administrativo com as Ferramentas de Administração do Servidor Remoto dos Serviços do Domínio Active Directory instaladas. Abra Utilizadores e Computadores do Active Directory utilizando uma conta que tenha permissões para adicionar utilizadores no domínio.

  2. Na árvore da consola, expanda a estrutura até visualizar o contentor em que pretende criar a conta de utilizador. Por exemplo, algumas organizações têm uma conta de Serviços UO ou semelhante. Clique com o botão direito do rato no contentor, clique em Novo e, em seguida, clique em Utilizador.

  3. Nas caixas de textos Novo Objeto - Utilizador, introduza nomes apropriados para todos os campos para que fique claro que está a criar uma conta de utilizador. Certifique-se de que segue a política da sua organização para a criação de uma conta de serviço, se tal política existir. Por exemplo, poderia introduzir o seguinte e, em seguida, clicar em Seguinte.

    1. Nome próprio: Ndes

    2. Apelido: Service

    3. Nome de início de sessão do utilizador: NdesService

  4. Certifique-se de que define uma palavra-passe complexa para a conta e que confirma a palavra-passe. Configure as opções de palavra-passe para corresponder à política de segurança da sua organização sobre contas de serviço. Se a palavra-passe estiver configurada para expirar, deve ter um processo para garantir que redefine a palavra-passe nos intervalos necessários.

  5. Clique em Seguinte e, em seguida, clique em Concluído.

Dica

  • Também pode utilizar o cmdlet New-ADUser Windows PowerShell® para adicionar uma conta de utilizador do domínio.
  • Dependendo da configuração do AD DS (Serviço de Domínio Active Directory), i.e., Active Directory Domain Service, poderá implementar uma Conta de Serviço Gerida ou uma Conta de Serviços Geridos de Grupo para NDES. Para obter mais informações sobre Contas de Serviço Geridas, consulte Contas de Serviço Geridas. Para obter mais informações sobre Contas de Serviço Geridas de grupo, consulte Descrição Geral de Contas de Serviço Geridas de Grupo.
Para adicionar a conta de serviço NDES ao grupo local IIS_IUSERS

  1. No servidor que aloja o serviço NDES, abra Gestão de Computadores (compmgmt.msc).

  2. Na árvore da consola Gestão de Computadores, em Ferramentas do Sistema, expanda Utilizadores e Grupos Locais. Clique em Grupos.

  3. No painel de detalhes, faça duplo clique em IIS_IUSRS.

  4. No separador Geral, clique em Adicionar.

  5. Na caixa de texto Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos, introduza o nome de início de sessão do utilizador para a conta que configurou como a conta de serviço.

  6. Clique em Verificar Nomes, clique em OK duas vezes e, em seguida, feche Gestão de Computadores.

Dica


Também pode utilizar o net localgroup IIS_IUSRS <domain>\<username> /Add para adicionar a conta de serviço NDES ao grupo local IIS_IUSRS. A linha de comando ou o Windows PowerShell devem ser executados como Administrador. Para obter mais informações, consulte Adicionar um membro a um grupo local.

Para configurar a conta de serviço NDES com permissão de solicitação da Autoridade de Certificação

  1. Na AC que será utilizada pelo NDES, abra a consola da Autoridade de Certificação com uma conta que tenha permissões para Gerir AC.

  2. Abra a consola Autoridade de Certificação. Clique com o botão direito do rato na autoridade de certificação e, em seguida, clique em Propriedades.

  3. No separador Segurança, pode ver as contas que têm permissão para Pedir Certificados. Por definição, o grupo Utilizadores Autenticados tem esta permissão. A conta de serviço que criou será membro dos Utilizadores Autenticados quando estiver em uso. Não é necessário conceder permissões adicionais se os Utilizadores Autenticados tiverem a permissão para Pedir Certificados. No entanto, se não for o caso, deve conceder a permissão para Pedir Certificados de conta de serviço NDES na AC. Para tal:

    • Clique em Adicionar.

    • Na caixa de texto Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos, introduza o nome da conta de serviço NDES, clique em Verificar Nomes e, em seguida, clique em OK.

    • Verifique se a conta de serviço NDES está selecionada. Verifique se a caixa de verificação Permitir que corresponde a Pedir Certificados está selecionada. Clique em OK.

Para definir um nome de serviço principal para a conta de serviço NDES

  1. Certifique-se de que está a utilizar uma conta membro do grupo de Administradores de Domínio. Abra Windows PowerShell ou uma linha de comando como administrador.

  2. Utilize a seguinte sintaxe de comando para registar o nome do principal do serviço (SPN) para a conta de serviço: setspn -s http/<computername> <domainname>\<accountname>. Por exemplo, para registar uma conta de serviço com o nome de início de sessão NdesService no domínio cpandl.com que está a ser executado num computador denominado CA1, deve executar o seguinte comando: setspn -s http/CA1.cpandl.com cpandl\NdesService

Selecione uma AC para NDES

Deve selecionar uma AC para o serviço NDES a ser utilizado ao emitir certificados para os clientes. Se o NDES estiver instalado numa AC, não é possível selecionar uma AC porque a AC local está a ser utilizada. Ao instalar o NDES num computador que não seja uma AC, deve selecionar a AC de destino. Pode selecionar a AC pelo nome de AC ou pelo nome do computador. Clique em Nome de AC ou em Nome do computador e, em seguida, clique em Selecionar. A opção que escolher determinará o tipo de caixa de diálogo que é apresentado em seguida.

  • Se clicou em Nome de AC, irá visualizar a caixa de diálogo Selecionar Autoridade de Certificação, que possui uma lista de ACs da qual pode escolher.

  • Se clicou em Nome do computador, irá visualizar a caixa de diálogo Selecionar computador onde é possível definir as Localizações e introduzir o nome do computador que pretende especificar como AC.

Definir informações de AR

Na página Informações de AR, estão reunidos todos os campos obrigatórios e opcionais para configurar o serviço como AR. As informações que fornecer aqui serão utilizadas para criar o certificado de assinatura que é emitido para o serviço.

Configurar a criptografia para NDES

O Serviço de Inscrição de Dispositivos de Rede usa dois certificados e chaves para ativar a inscrição do dispositivo. As organizações podem querer utilizar diferentes CSPs (Cryptographic Service Providers), para armazenar essas chaves ou podem optar por alterar o comprimento das chaves utilizado pelo serviço. Apenas os Fornecedores de Serviços CryptoAPI (Cryptographic Application Programming Interface) são suportados pelas chaves de AR — API de Criptografia: os fornecedores de Próxima Geração (CNG) não são suportados.

Configuração NDES completa

Pode saber mais sobre a configuração e operação de NDES no seguinte artigo Serviço de Inscrição de Dispositivos de Rede (NDES) nos Serviços de Certificados do Active Directory (AD CS). no Microsoft TechNet.

Se exigir inscrição por ondas eletromagnéticas para dispositivos móveis, consulte Utilizar um Módulo de Política com o Serviço de Inscrição de Dispositivos de Rede.

Nota


Se efetuar alterações de configuração para NDES ou para os modelos de certificado que são utilizados pelo NDES, terá de parar e reiniciar NDES, IIS e o serviço de AC.

Conteúdo relacionado