Ağ Cihazı Kayıt Hizmeti

  • Makale

 

Uygulama Alanı: Windows Server 2012 R2, Windows Server 2012

Ağ Cihazı Kayıt Hizmeti (NDES), etki alanı kimlik bilgileri olmadan yönlendiricilerde ve diğer ağ cihazlarında çalışan yazılımların Basit Sertifika Kayıt Protokolü’nü (SCEP) temel alarak sertifikaları edinmesini sağlar.

Not

SCEP, var olan sertifika yetkililerini (CA’lar) kullanarak sertifikaların ağ cihazlarına güvenilir ve ölçeklenebilir bir şekilde sağlanmasını desteklemek amacıyla geliştirilmiştir. Protokol, CA ve kayıt yetkili ortak anahtarı dağıtımını, sertifika kaydını, sertifika iptalini, sertifika sorgularını ve sertifika iptali sorgularını destekler.

Ağ Cihazı Kayıt Hizmeti şu işlevleri gerçekleştirir:

  1. Yöneticiler için tek seferlik kayıt gerektiren parolalar oluşturur ve sunar

  2. Kayıt isteklerini CA’ya gönderir

  3. Kayıtlı sertifikaları CA’dan alır ve ağ cihazına iletir

NDES yapılandırma ayarları

Aşağıdaki bölümlerde, NDES ikili yükleme dosyalarını yükledikten sonra seçebileceğiniz yapılandırma seçenekleri açıklanmaktadır.

NDES için bir hizmet hesabını yapılandırma

NDES, aşağıdakilerden biri olarak çalıştıracak şekilde yapılandırılabilir:

  • Hizmet hesabı olarak belirtilen bir kullanıcı hesabı

  • Internet Information Services (IIS) bilgisayarına ait yerleşik uygulama havuzu kimliği

Yerleşik uygulama havuzu kimliğini seçerseniz ek yapılandırma gerçekleştirmeniz gerekmez. Ancak önerilen yapılandırma, bir kullanıcı hesabının belirtilmesidir ve bunun için ek yapılandırma gerekir. NDES hizmet hesabı olarak belirtilen kullanıcı hesabının aşağıdaki gereksinimleri karşılaması gerekir:

  • Bir etki alanı kullanıcı hesabı olmak

  • Yerel IIS_IUSRS grubunun bir üyesi olmak

  • Yapılandırılan CA üzerinde İstek izinlerine sahip olmak

  • Otomatik olarak yapılandırılan NDES sertifika şablonunda Okuma ve Kayıt izinlerine sahip olmak

  • Active Directory’de ayarlanan bir hizmet asıl adına (SPN) sahip olmak

NDES hizmet hesabı görevi gören bir etki alanı kullanıcı hesabı oluşturmak için

  1. Active Directory Etki Alanı Hizmetleri Uzak Sunucu Yönetim Araçları yüklü olan bir etki alanı denetleyicisinde veya yönetici bilgisayarında oturum açın. Etki alanına kullanıcı ekleme izinlerine sahip olan bir hesap kullanarak Active Directory Kullanıcıları ve Bilgisayarları’nı açın.

  2. Konsol ağacında, kullanıcı hesabını oluşturmak istediğiniz kapsayıcıyı görene kadar yapıyı genişletin. Örneğin, bazı kuruluşlar Hizmetler OU veya benzer bir hesaba sahiptir. Kapsayıcıya sağ tıklayın, ardından Yeni’ye ve Kullanıcı’ya tıklayın.

  3. Bir kullanıcı hesabı oluşturduğunuzun anlaşılması amacıyla Yeni Nesne - Kullanıcı metin kutularında tüm alanlar için uygun adlar girin. Kuruluşunuz, hizmet hesabı oluşturmaya yönelik bir ilkeye sahipse bu ilkeye uyduğunuzdan emin olun. Örneğin aşağıdaki bilgileri girerek İleri’ye tıklayabilirsiniz.

    1. Ad: Ndes

    2. Soyadı: Hizmet

    3. Kullanıcı oturum açma adı: NdesService

  4. Hesap için karmaşık bir parola ayarladığınızdan ve parolayı doğruladığınızdan emin olun. Parola seçeneklerini, kuruluşunuzun hizmet hesaplarına yönelik güvenlik ilkelerine uygun şekilde yapılandırın. Parola süresi dolacak şekilde yapılandırıldıysa, gerekli olan aralıklarla parolanın sıfırlanmasını sağlamak için bir işleme sahip olmanız gerekir.

  5. İleri’ye ve ardından Bitti’ye tıklayın.

İpucu

  • Bir etki alanı kullanıcı hesabı eklemek için aynı zamanda New-ADUser Windows PowerShell® cmdlet’ini de kullanabilirsiniz.

  • Active Directory Etki Alanı Hizmeti (AD DS) yapılandırmanıza bağlı olarak, NDES için bir Yönetilen Hizmet Hesabı veya Grup Yönetilen Hizmet Hesabı uygulayabilirsiniz. Yönetilen Hizmet Hesapları hakkında daha fazla bilgi edinmek için bkz. Yönetilen Hizmet Hesapları. Grup Yönetilen Hizmet Hesapları hakkında daha fazla bilgi edinmek için bkz. Grup Yönetilen Hizmet Hesapları.

NDES hizmet hesabını yerel IIS_IUSERS grubuna eklemek için

  1. NDES hizmetini barındıran sunucuda Bilgisayar Yönetimi’ni (compmgmt.msc) açın.

  2. Bilgisayar Yönetimi konsol ağacında bulunan Sistem Araçları bölümünde Yerel Kullanıcı ve Gruplar’ı genişletin.Gruplar’a tıklayın.

  3. Ayrıntılar bölmesinde IIS_IUSRS’ye çift tıklayın.

  4. Genel sekmesinde Ekle'ye tıklayın.

  5. Seçilen Kullanıcılar, Bilgisayarlar, Hizmet Hesapları veya Gruplar metin kutusunda, hizmet hesabı olacak şekilde yapılandırdığınız hesaba ait kullanıcı oturum açma adını yazın.

  6. Adları Denetle’ye tıklayın, iki kez Tamam’a tıklayın ve ardından Bilgisayar Yönetimi’ni kapatın.

İpucu

NDES hizmet hesabını yerel IIS_IUSRS grubuna eklemek için aynı zamanda net localgroup IIS_IUSRS <domain>\<username> /Add komutunu da kullanabilirsiniz. Komut istemi veya Windows PowerShell, Yönetici olarak çalıştırılmalıdır. Daha fazla bilgi edinmek için bkz. Yerel bir gruba üye ekleme.

NDES hizmet hesabını CA’daki istek izniyle yapılandırmak için

  1. NDES tarafından kullanılacak olan CA’da, CA’yı Yönet izinlerine sahip olan bir hesap ile Sertifika Yetkilisi konsolunu açın.

  2. Sertifika Yetkilisi konsolunu açın. Sertifika yetkilisine sağ tıklayın ve ardından Özellikler’e tıklayın.

  3. Güvenlik sekmesinde, Sertifikaları İste izinlerine sahip olan hesapları görebilirsiniz. Varsayılan olarak, Kimliği Doğrulanmış Kullanıcılar grubu bu izne sahiptir. Oluşturduğunuz hizmet hesabı, kullanılmaya başladığında Kimliği Doğrulanmış Kullanıcılar grubunun bir üyesi olacaktır.Kimliği Doğrulanmış Kullanıcılar grubu Sertifikaları İste iznine sahipse ek izinler vermeniz gerekmez. Ancak aksi halde, CA üzerinde NDES hizmet hesabına Sertifikaları İste iznini vermeniz gerekir. Bunu yapmak için:

    • Ekle’ye tıklayın.

    • Seçilen Kullanıcılar, Bilgisayarlar, Hizmet Hesapları veya Gruplar metin kutusunda, NDES hizmet hesabının adını yazarak Adları Denetle’ye ve ardından Tamam’a tıklayın.

    • NDES hizmet hesabının seçili olduğundan emin olun.İzinleri İste’ye karşılık gelen İzin Ver onay kutusunun işaretli olduğundan emin olun.Tamam'a tıklayın.

NDES hizmet hesabına ait hizmet asıl adını ayarlamak için

  1. Etki Alanı Yöneticileri grubunun üyesi olan bir hesap kullandığınızdan emin olun.Windows PowerShell’i veya bir komut istemini yönetici olarak açın.

  2. NDES hizmet hesabına ait sunucu asıl adını (SPN) kaydetmek için şu komut söz dizimini kullanın: setspn -s http/<computername> <domainname>\<accountname>. Örneğin, NdesService oturum açma adına sahip bir hizmet hesabını, CA1 adlı bir bilgisayarda çalışan cpandl.com etki alanına kaydetmek için şu komutu çalıştırın: setspn -s http/CA1.cpandl.com cpandl\NdesService

NDES için bir CA seçme

NDES hizmetinin istemcilere sertifika verirken kullanacağı bir CA seçmeniz gerekir. NDES bir CA üzerinde yüklüyse, yerel CA kullanıldığından bir CA seçemezsiniz. NDES’yi CA olmayan bir bilgisayara yüklediğinizde hedef CA’yı seçmeniz gerekir. CA’yı, CA adına veya bilgisayar adına göre seçebilirsiniz.CA adı veya Bilgisayar adı seçeneğine ve ardından Seç’e tıklayın. Belirttiğiniz seçenek, size sunulan bir sonraki iletişim kutusunun türünü belirler.

  • CA adı seçeneğine tıklarsanız, seçim yapabileceğiniz CA’ların listesini içeren Sertifika Yetkilisi Seç iletişim kutusunu görürsünüz.

  • Bilgisayar adı seçeneğine tıklarsanız, Konumlar’ı seçebileceğiniz ve CA olarak belirtmek istediğiniz bilgisayar adını girebileceğiniz Bilgisayar Seç iletişim kutusunu görürsünüz.

RA bilgilerini ayarlama

RA Bilgileri sayfası, hizmeti RA olarak ayarlamaya yönelik tüm gerekli ve isteğe bağlı alanları içerir. Burada sağladığınız bilgiler, hizmete verilen imza sertifikasını oluşturmak için kullanılır.

NDES şifrelemesini yapılandırma

Ağ Cihazı Kayıt Hizmeti, cihaz kaydı için iki sertifika ile birlikte bu sertifikalara ait anahtarları kullanır. Kuruluşlar, bu anahtarları depolamak için farklı Şifreleme Hizmeti Sağlayıcıları (CSP’ler) kullanmak veya hizmet tarafından kullanılan anahtarların uzunluğunu değiştirmek isteyebilir. RA anahtarları için yalnızca Şifreleme Uygulama Programlama Arabirimi (CryptoAPI) Hizmet Sağlayıcıları desteklenir; Şifreleme API’si: Yeni Nesil (CNG) sağlayıcıları desteklenmez.

NDES yapılandırmasını tamamlama

NDES yapılandırması ve çalışması hakkında daha fazla bilgi edinmek için Microsoft TechNet üzerindeki Active Directory Sertifika Hizmetleri’nde (AD CS) Ağ Cihazı Kayıt Hizmeti (NDES).

Mobil cihazlar için kablosuz kayda ihtiyacınız varsa bkz. Ağ Cihazı Kayıt Hizmeti ile İlke Modülü Kullanma.

Not

NDES’de veya NDES tarafından kullanılan sertifika şablonlarında yapılandırma değişiklikleri yaparsanız NDES, IIS ve CA hizmetini durdurarak yeniden başlatmanız gerekir.

İlgili içerik