網路裝置註冊服務指導方針

  • 發行項

 

發行︰ 2016年9月

適用於: Windows Server 2012 R2、Windows Server 2012

網路裝置註冊服務 (NDES) 可讓路由器和其他網路裝置上的軟體依據簡單憑證註冊通訊協定 (SCEP) 在沒有網域認證的情況下取得憑證。

注意


SCEP 的開發目的是使用現有憑證授權單位 (CA) 來支援安全且可擴充的網路裝置憑證簽發。 通訊協定支援 CA 和登錄授權單位公開金鑰發佈、憑證註冊、憑證撤銷、憑證查詢及憑證撤銷查詢。

網路裝置註冊服務會執行下列功能:

  1. 產生並提供單次註冊密碼給系統管理員

  2. 送出註冊要求給 CA

  3. 從 CA 擷取註冊的憑證並將它們轉送給網路裝置

NDES 組態設定

以下各節說明安裝 NDES 二進位安裝檔案後,您可以選取的設定選項。

設定 NDES 的服務帳戶

NDES 可以設定為以下列其中一種身分執行:

  • 指定為服務帳戶的使用者帳戶

  • 網際網路資訊服務 (IIS) 電腦的內建應用程式集區身分識別

如果您選取內建應用程式集區身分識別,就不需要進行其他設定。 但是,建議的設定是指定使用者帳戶,這需要進行其他設定。 指定為 NDES 服務帳戶的使用者帳戶必須符合下列需求:

  • 必須是網域使用者帳戶

  • 必須是本機 IIS_IUSRS 群組的成員

  • 在設定的 CA 上具備要求權限

  • 在 NDES 憑證範本上具備讀取和註冊權限 (這是自動設定的)

  • 已在 Active Directory 中設定服務主體名稱 (SPN)

建立網域使用者帳戶來做為 NDES 服務帳戶

  1. 登入已安裝 Active Directory 網域服務遠端伺服器管理工具的網域控制站或管理電腦。 使用具備新增使用者至網域之權限的帳戶開啟 [Active Directory 使用者和電腦]。

  2. 在主控台樹狀目錄中展開結構,直到您看到您要在其中建立使用者帳戶的容器。 例如,某些組織有服務 OU 或類似的帳戶。 以滑鼠右鍵按一下該容器,按一下 [新增],然後按一下 [使用者]。

  3. 在 [新增物件 - 使用者] 文字方塊中,針對所有欄位輸入適當的名稱,這表示您正在建立使用者帳戶。 請務必依照貴組織的服務帳戶建立原則執行 (如果有的話)。 例如,您可以輸入以下資訊,然後按一下 [下一步]。

    1. [名字]:Ndes

    2. [姓氏]:Service

    3. [使用者登入名稱]:NdesService

  4. 確定您已為帳戶設定複雜的密碼,然後確認密碼。 設定與貴組織服務帳戶有關之安全性原則相對應的密碼選項。 如果密碼有設定到期時間,您應設定密碼重設程序,以確保在所需的間隔時間內重設密碼。

  5. 按一下 [下一步],然後按 [完成]。

提示

  • 您也可以使用 New-Aduser Windows PowerShell® Cmdlet 來新增網域使用者帳戶。
  • 視您的 Active Directory 網域服務 (AD DS) 設定而定,您可以為 NDES 實作受管理的服務帳戶或群組受管理的服務帳戶。 如需有關「受管理的服務帳戶」的詳細資訊,請參閱<受管理的服務帳戶>。 如需有關「群組受管理的服務帳戶」的詳細資訊,請參閱<群組受管理的服務帳戶概觀>
將 NDES 服務帳戶新增至本機 IIS_IUSERS 群組

  1. 在裝載 NDES 服務的伺服器上,開啟 [電腦管理] (compmgmt.msc)。

  2. 在 [電腦管理] 主控台樹狀目錄中的 [系統工具] 下,展開 [本機使用者和群組]。 按一下 [群組]。

  3. 在詳細資料窗格中,按兩下 [IIS_IUSRS]。

  4. 在 [一般] 索引標籤中,按一下 [新增]。

  5. 在 [選取使用者、電腦、服務帳戶或群組] 文字方塊中,輸入您設定為服務帳戶之帳戶的使用者登入名稱。

  6. 按一下 [檢查名稱],按兩次 [確定],然後關閉 [電腦管理]。

提示


您也可以使用 net localgroup IIS_IUSRS <domain>\<username> /Add 將 NDES 服務帳戶新增至本機 IIS_IUSERS 群組。 命令提示字元或 Windows PowerShell 必須以系統管理員身分執行。 如需詳細資訊,請參閱<新增成員到本機群組>。

在 CA 中設定具備要求權限的 NDES 服務帳戶

  1. 在 NDES 要使用的 CA 中,以具備「管理 CA」權限的帳戶開啟 [憑證授權單位] 主控台。

  2. 開啟 [憑證授權單位] 主控台。 以滑鼠右鍵按一下憑證授權單位,然後按一下 [內容]。

  3. 在 [安全性] 索引標籤上,您可以看到具備「要求憑證」權限的帳戶。 [已驗證的使用者] 群組預設具備此權限。 您建立的服務帳戶將會在使用時成為 [已驗證的使用者] 的成員。 如果 [已驗證的使用者] 具備「要求憑證」權限,您就不需要授與其他權限。 但是,如果不是這樣,您就應該在 CA 中將「要求憑證」權限授與 NDES 服務帳戶。 若要這樣做:

    • 按一下 [新增]

    • 在 [選取使用者、 電腦、 服務帳戶或群組] 文字方塊中,輸入 NDES 服務帳戶的名稱,接著按一下 [檢查名稱],然後按一下 [確定]。

    • 確定已選取 NDES 服務帳戶。 確定已選取和 [要求憑證] 相對應的 [允許] 核取方塊。 按一下 [確定]。

設定 NDES 服務帳戶的服務主體名稱

  1. 確定您使用的是屬於 Domain Admins 群組之成員的帳戶。 以系統管理員身分開啟 Windows PowerShell 或命令提示字元。

  2. 使用下列命令語法登錄 NDES 服務帳戶的伺服器主體名稱 (SPN):setspn -s http/<computername> <domainname>\<accountname>。 例如,若要在於名為 CA1 之電腦上執行的 cpandl.com 網域中登錄登入名稱為 NdesService 的服務帳戶,您可以執行以下命令:setspn -s http/CA1.cpandl.com cpandl\NdesService

選取 NDES 的 CA

您必須選取 NDES 服務的 CA 以供在簽發憑證給用戶端時使用。 如果 NDES 已經安裝在 CA 上,您就不需要選取 CA,因為已經使用本機 CA。 當您將 NDES 安裝在不是 CA 的電腦上時,您必須選取目標 CA。 您可以根據 CA 名稱或根據電腦名稱選取 CA。 按一下 [CA 名稱] 或 [電腦名稱],然後按一下 [選取]。 您選擇的選項將會決定下一個顯示之對話方塊的類型。

  • 如果您是按一下 [CA名稱],將會看到 [選取憑證授權單位] 對話方塊,其中有可供您選擇 CA 的 CA 清單。

  • 如果您是按一下 [電腦名稱],則會看到 [選取電腦] 對話方塊,您可以在該對話方塊中設定 [位置] 並輸入您要指定為 CA 的電腦名稱。

設定 RA 資訊

[RA 資訊] 頁面中收集了將服務設定為 RA 時會用到的所有必要和選擇性欄位。 您在此處提供的資訊將用來建構簽發給服務的簽署憑證。

設定 NDES 的密碼編譯

「網路裝置註冊服務」會使用兩個憑證與其金鑰來啟用裝置註冊。 組織可以使用不同的密碼編譯服務服務提供者 (CSP) 來儲存這些金鑰,或者他們可以變更服務所使用之金鑰的長度。 對於 RA 金鑰,只支援密碼編譯應用程式開發介面 (CryptoAPI) 服務提供者,不支援密碼編譯 API:新一代 (CNG) 提供者。

完成 NDES 設定

您可以從 Microsoft TechNet 上的<Active Directory 憑證服務 (AD CS) 中的網路裝置註冊服務 (NDES)>文章了解 NDES 設定與操作。

如果您需要透過無線方式註冊行動裝置,請參閱<使用原則模組和網路裝置註冊服務>。

注意


如果您對 NDES 或 NDES 使用之憑證進行設定變更,您必須停止並重新啟動 NDES、IIS 和 CA 服務。

相關內容