Руководство по службе регистрации сертификатов для сетевых устройств

  • Статья

 

Опубликовано: Сентябрь 2016

Применимо к: Windows Server 2012 R2, Windows Server 2012

Служба регистрации сертификатов для сетевых устройств (NDES) позволяет программному обеспечению на маршрутизаторах и других сетевых устройствах, работающих без учетных данных домена, получать сертификаты на основе протокола SCEP.

Примечание


Протокол SCEP был разработан для безопасной масштабируемой выдачи сертификатов сетевым устройствам с помощью существующих центров сертификации (ЦС). Он поддерживает распространение открытых ключей ЦС и центра регистрации, регистрацию сертификатов, отзыв сертификатов, запросы на сертификаты и запросы на отзыв сертификатов.

Служба регистрации сертификатов для сетевых устройств выполняет следующие функции.

  1. Создает и предоставляет администраторам одноразовые пароли регистрации.

  2. Отправляет запросы на регистрацию в ЦС.

  3. Получает зарегистрированные сертификаты из ЦС и пересылает их сетевым устройствам.

Параметры конфигурации NDES

В следующих разделах описываются параметры конфигурации, которые можно выбрать после установки двоичных установочных файлов NDES.

Настройка учетной записи службы для NDES

Службу NDES можно настроить одним из следующих образов:

  • как учетную запись пользователя, настроенную в качестве учетной записи службы;

  • как встроенный идентификатор пула приложений на компьютере IIS.

Если вы выбрали встроенный идентификатор пула приложений, дополнительная настройка не требуется. Однако рекомендуется создать учетную запись пользователя, а в этом случае дополнительная настройка требуется. Учетная запись пользователя, настраиваемая в качестве учетной записи службы NDES, должна отвечать следующим требованиям:

  • являться учетной записью пользователя домена;

  • входить в локальную группу IIS_IUSRS;

  • иметь разрешения на отправку запросов в настроенный ЦС;

  • иметь разрешения на чтение и регистрацию шаблона сертификата NDES (настраивается автоматически);

  • иметь имя субъекта-службы в Active Directory.

Создание учетной записи пользователя домена в качестве учетной записи службы NDES

  1. Войдите в контроллер домена или на административный компьютер с установленными средствами удаленного администрирования сервера доменных служб Active Directory. Откройте оснастку Пользователи и компьютеры Active Directory, используя учетную запись с разрешениями на добавление пользователей в домен.

  2. В дереве консоли разверните структуру, пока не увидите контейнер, в котором нужно создать учетную запись пользователя. Например, в некоторых организациях есть подразделение "Службы" или аналогичная учетная запись. Щелкните контейнер правой кнопкой мыши, выберите пункт Создать, а затем пункт Пользователь.

  3. В разделе Новый объект — пользователь введите соответствующие имена для всех полей, чтобы было ясно, что вы создаете учетную запись пользователя. Соблюдайте политику организации в отношении создания учетных записей служб, если такая политика имеется. Например, можно ввести указанные ниже данные, после чего нажать кнопку Далее.

    1. Имя: Ndes

    2. Фамилия: Служба

    3. Имя входа пользователя: NdesService

  4. Задайте для учетной записи сложный пароль и подтвердите его. Настройте параметры пароля в соответствии с политиками безопасности организации в отношении учетных записей служб. Если пароль имеет срок действия, необходимо реализовать процедуру, обеспечивающую его смену через требуемые интервалы.

  5. Нажмите кнопку Далее, а затем кнопку Готово.

Совет

  • Можно также добавить учетную запись пользователя домена с помощью командлета New-ADUser Windows PowerShell®.
  • В зависимости от конфигурации доменных служб Active Directory (AD DS) для службы NDES можно реализовать управляемую учетную запись службы или групповую управляемую учетную запись службы. Дополнительные сведения об управляемых учетных записях служб см. в статье Управляемые учетные записи служб. Дополнительные сведения о групповых управляемых учетных записях служб см. в статье Общие сведения о групповых управляемых учетных записях служб.
Добавление учетной записи службы NDES в локальную группу IIS_IUSERS

  1. На сервере, на котором размещена служба NDES, откройте оснастку Управление компьютером (compmgmt.msc).

  2. В дереве консоли "Управление компьютером" в разделе Служебные разверните узел Локальные пользователи и группы. Щелкните папку Группы.

  3. В области сведений дважды щелкните элемент IIS_IUSRS.

  4. На вкладке Общие нажмите кнопку Добавить.

  5. В текстовом поле Выбор пользователей, компьютеров, учетных записей служб или групп введите имя входа пользователя для учетной записи, настроенной в качестве учетной записи службы.

  6. Нажмите кнопку Проверить имена, дважды нажмите кнопку ОК, а затем закройте оснастку Управление компьютером.

Совет


Вы также можете использовать net localgroup IIS_IUSRS <domain>\<username> /Add для добавления учетной записи службы NDES в локальную группу IIS_IUSERS. Командную строку или Windows PowerShell необходимо запустить от имени администратора. Дополнительные сведения см. в статье Добавление члена в локальную группу.

Настройка учетной записи службы NDES с разрешением на отправку запросов в ЦС

  1. В ЦС, который будет использоваться службой NDES, откройте консоль центра сертификации с помощью учетной записи с разрешениями на управление ЦС.

  2. Откройте консоль центра сертификации. Щелкните центр сертификации правой кнопкой мыши и выберите пункт Свойства.

  3. На вкладке Безопасность можно просмотреть учетные записи, у которых есть разрешения на запрос сертификатов. По умолчанию группа Прошедшие проверку имеет это разрешение. Созданная вами учетная запись службы будет членом группы Прошедшие проверку во время использования. Если группа Прошедшие проверку имеет разрешение на запрос сертификатов, предоставлять дополнительные разрешения не нужно. В противном случае учетной записи службы NDES необходимо предоставить разрешение на запрос сертификатов из ЦС. Для этого выполните следующие действия.

    • Нажмите кнопку Добавить.

    • В текстовом поле Выбор пользователей, компьютеров, учетных записей служб или групп введите имя учетной записи службы NDES, нажмите кнопку Проверить имена, а затем нажмите кнопку ОК.

    • Убедитесь в том, что выбрана учетная запись службы NDES. Убедитесь в том, что напротив разрешения Запрос сертификатов установлен флажок Разрешить. Нажмите кнопку ОК.

Задание имени субъекта-службы для учетной записи службы NDES

  1. Убедитесь в том, что вы используете учетную запись, входящую в группу администраторов домена. Откройте Windows PowerShell или командную строку с правами администратора.

  2. Чтобы зарегистрировать имя субъекта-службы для учетной записи службы NDES, используйте следующий синтаксис команды: setspn -s http/<computername> <domainname>\<accountname>. Например, чтобы зарегистрировать учетную запись службы с именем входа NdesService в домене cpandl.com, которая выполняется на компьютере с именем CA1, выполните следующую команду: setspn -s http/CA1.cpandl.com cpandl\NdesService

Выбор ЦС для NDES

Для службы NDES необходимо выбрать ЦС, который будет использоваться для выдачи сертификатов клиентам. Если служба NDES установлена на одном компьютере с ЦС, возможности выбрать ЦС нет, так как используется локальный ЦС. Если служба NDES устанавливается на компьютере, не являющемся ЦС, необходимо выбрать целевой ЦС. Выбрать ЦС можно по имени ЦС или имени компьютера. Выберите Имя ЦС или Имя компьютера, а затем нажмите кнопку Выбрать. От выбранного варианта будет зависеть то, какое диалоговое окно откроется далее.

  • Если был выбран вариант Имя ЦС, откроется диалоговое окно Выбор центра сертификации со списком ЦС, один из которых вы можете выбрать.

  • Если был выбран вариант Имя компьютера, откроется диалоговое окно Выбор компьютера, в котором можно задать расположения и ввести имя компьютера, который необходимо указать в качестве ЦС.

Задание сведений о центре регистрации

На странице Сведения о центре регистрации приведены все обязательные и необязательные поля для настройки службы в качестве центра регистрации. Указанные здесь сведения будут использоваться для формирования сертификата подписи, выдаваемого службе.

Настройка шифрования для службы NDES

Служба регистрации сертификатов для сетевых устройств использует два сертификата и их ключи для регистрации устройств. Организации может потребоваться использовать другого поставщика служб шифрования (CSP) для хранения ключей или изменить длину ключей, используемых службой. Для ключей центра регистрации поддерживаются только поставщики служб, использующие интерфейс прикладного программирования CryptoAPI. Поставщики, использующие API CNG (Cryptography Next Generation), не поддерживаются.

Завершение настройки NDES

Дополнительные сведения о настройке и функционировании службы NDES см. в статье Служба регистрации сертификатов для сетевых устройств (NDES) в службах сертификатов Active Directory (AD CS) на сайте Microsoft TechNet.

Если требуется беспроводная регистрация мобильных устройств, см. раздел Использование модуля политики совместно со службой регистрации сертификатов для сетевых устройств.

Примечание


При внесении изменений в конфигурацию для NDES или в шаблоны сертификатов, которые используются службой NDES, необходимо остановить и перезапустить NDES, IIS и службу ЦС.

Связанное содержимое