Leitfaden für den Registrierungsdienst für Netzwerkgeräte

  • Artikel

 

Veröffentlicht: September 2016

Gilt für: Windows Server 2012 R2, Windows Server 2012

Über den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service NDES) kann Software, die ohne Netzwerk-Anmeldeinformationen auf Routern und anderen Netzwerkgeräten läuft, Zertifikate auf Basis des Simple Certificate Enrollment-Protokolls (SCEP) abrufen.

Hinweis


SCEP wurde entwickelt, um die sichere und skalierbare Ausstellung von Zertifikaten an Netzwerkgeräte über existierende Zertifizierungsstellen (ZS) zu unterstützen. Das Protokoll unterstützt die Verteilung öffentlicher Schlüssel von ZS und Registrierungsstellen sowie Zertifikatregistrierung, Zertifikatsperren, Zertifikatabfragen und Zertifikatsperrenabfragen.

Der Registrierungsdienst für Netzwerkgeräte unterstützt die folgenden Funktionen:

  1. Generierung und Bereitstellung einmaliger Registrierungskennwörter für Administratoren

  2. Übermittlung von Registrierungsanfragen an die ZS

  3. Abrufen registrierter Zertifikate von der ZS und Weiterleitung an das Netzwerkgerät

NDES-Konfigurationseinstellungen

Die folgenden Abschnitte beschreiben die verschiedenen Konfigurationsoptionen, die Sie nach der Installation der binären NDES-Installationsdateien auswählen können.

Konfigurieren eines Dienstkontos für NDES

NDES kann als eine der folgenden Optionen ausgeführt werden:

  • Ein Benutzerkonto, das als Dienstkonto konfiguriert ist

  • Die integrierte Anwendungspool-Identität des Internetinformationsdienste (IIS)-Computers

Wenn Sie die integrierte Anwendungspool-Identität auswählen, wird keine zusätzliche Konfiguration benötigt. Microsoft empfiehlt jedoch die Verwendung eines Benutzerkontos. In diesem Fall müssen Sie zusätzliche Konfigurationen vornehmen. Das als NDES-Dienstkonto angegebene Benutzerkonto muss die folgenden Anforderungen erfüllen:

  • Es muss sich um ein Domänen-Benutzerkonto handeln

  • Es muss Mitglied der lokalen IIS_IUSRS-Gruppe sein

  • Es muss Anfrageberechtigungen für die konfigurierte ZS haben

  • Es muss Lese- und Registrierungsberechtigungen für die NDES-Zertifikatvorlage haben, die automatisch konfiguriert wird

  • In Active Directory muss ein Dienstprinzipalname (Service Principal Name SPN) existieren

Erstellen eines Domänen-Benutzerkontos zur Verwendung als NDES-Dienstkonto

  1. Melden Sie sich am Domänencontroller bzw. am Verwaltungscomputer an, auf dem die Remoteserver-Verwaltungstools für Active Directory-Domänendienste installiert sind. Öffnen Sie Active Directory-Benutzer und -Computer mit einem Konto, das die Berechtigungen zum Erstellen neuer Benutzer in der Domäne hat.

  2. Erweitern Sie die Konsolenstruktur, bis der Container angezeigt wird, in dem Sie das Benutzerkonto erstellen möchten. Manche Organisationen haben z. B. eine Dienst-OU oder ein ähnliches Konto. Klicken Sie mit der rechten Maustaste auf den Container, anschließend auf Neu und auf Benutzer.

  3. Geben Sie in den Textfeldern Neues Objekt - Benutzer die entsprechenden Namen für alle Felder ein, sodass klar ist, dass Sie ein Benutzerkonto erstellen. Beachten Sie die Richtlinien Ihrer Organisation für die Erstellung von Dienstkonten, falls solche Richtlinien existieren. Geben Sie z. B. die folgenden Daten ein und klicken Sie auf Weiter.

    1. Vorname: Ndes

    2. Nachname: Dienst

    3. Benutzeranmeldename: NdesService

  4. Richten Sie ein komplexes Kennwort für das Konto ein und bestätigen Sie das Kennwort. Konfigurieren Sie die Kennwortoptionen gemäß der Sicherheitsrichtlinien Ihrer Organisation für Dienstkonten. Falls das Kennwort nach einer bestimmten Zeit verfällt, sollten Sie einen Mechanismus einrichten, um sicherzustellen, dass Sie das Kennwort im korrekten Intervall ändern.

  5. Klicken Sie auf Weiter und dann auf Fertig stellen.

Tipp

  • Sie können auch das New-ADUserWindows PowerShell®-Cmdlet zum Hinzufügen eines Domänenbenutzerkontos verwenden.
  • Je nach Ihrer Active Directory-Domänendienste (AD DS)-Konfiguration können Sie evtl. ein verwaltetes Dienstkonto oder ein gruppenverwaltetes Dienstkonto für NDES einrichten. Weitere Informationen über verwaltete Dienstkonten finden Sie unter Verwaltete Dienstkonten. Weitere Informationen über gruppenverwaltete Dienstkonten finden Sie unter Gruppenverwaltete Dienstkonten: Übersicht.
Hinzufügen des NDES-Dienstkontos zur lokalen IIS_IUSERS-Gruppe

  1. Öffnen Sie die Computerverwaltung (compmgmt.msc) auf dem Server, der den NDES-Dienst hostet.

  2. Erweitern Sie in der Konsolenstruktur in der Computerverwaltung unter Systemtools den Knoten Lokale Benutzer und Gruppen. Klicken Sie auf Gruppen.

  3. Doppelklicken Sie im Detailbereich auf IIS_IUSRS.

  4. Klicken Sie auf der Registerkarte Allgemein auf Hinzufügen.

  5. Geben Sie im Textfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen den Benutzeranmeldenamen des Kontos ein, das Sie für die Verwendung als Dienstkonto konfiguriert haben.

  6. Klicken Sie auf Namen überprüfen, klicken Sie zwei mal auf OK und schließen Sie die Computerverwaltung.

Tipp


Sie können das NDES-Dienstkonto auch mit net localgroup IIS_IUSRS <domain>\<username> /Add der lokalen IIS_IUSRS-Gruppe hinzufügen. Die Eingabeaufforderung bzw. Windows PowerShell müssen Sie als Administrator ausführen. Weitere Informationen finden Sie unter Hinzufügen eines Mitglieds zu einer lokalen Gruppe.

Konfigurieren des NDES-Dienstkontos mit Anfrageberechtigungen für die ZS

  1. Öffnen Sie auf der ZS, die von NDES verwendet werden soll, die Zertifizierungsstellenkonsole mit einem Konto, das über Berechtigungen zur Verwaltung der Zertifizierungsstelle verfügt.

  2. Öffnen Sie die Zertifizierungsstellenkonsole. Klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle und klicken Sie auf Eigenschaften.

  3. Auf der Registerkarte Sicherheit sehen Sie die Konten, die Berechtigungen zum Anfordern von Zertifikaten haben. Standardmäßig hat die Gruppe Authentifizierte Benutzer diese Berechtigung. Das von Ihnen erstellte Dienstkonto wird Mitglied der Gruppe Authentifizierte Benutzer sein, wenn es verwendet wird. Wenn die Gruppe Authentifizierte Benutzer bereits über die Berechtigung zum Anfordern von Zertifikaten verfügt, müssen Sie keine weiteren Berechtigungen vergeben. Wenn dies jedoch nicht der Fall ist, sollten Sie dem NDES-Dienstkonto die Berechtigung zum Anfordern von Zertifikaten für die ZS erteilen. Gehen Sie hierzu wie folgt vor:

    • Klicken Sie auf Hinzufügen.

    • Geben Sie im Textfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen den Namen des NDES-Dienstkontos ein, klicken Sie auf Namen überprüfen und anschließend auf OK.

    • Vergewissern Sie sich, dass das NDES-Dienstkonto ausgewählt ist. Vergewissern Sie sich, dass das entsprechende Erlauben-Kontrollkästchen für Zertifikate anfordern markiert ist. Klicken Sie auf OK.

Einrichten eines Dienstprinzipalnamens für das NDES-Dienstkonto

  1. Vergewissern Sie sich, dass Sie ein Konto verwenden, das Mitglied der Gruppe Domänen-Admins ist. Öffnen Sie Windows PowerShell oder eine Eingabeaufforderung als Administrator.

  2. Mit der folgenden Befehlssyntax können Sie den Dienstprinzipalnamen (SPN) für das NDES-Dienstkonto registrieren: setspn -s http/<computername> <domainname>\<accountname>. Verwenden Sie z. B. den folgenden Befehl, um ein Dienstkonto mit dem Anmeldenamen NdesService, das auf einem Computer mit dem Namen CA1 läuft, in der Domäne cpandl.com zu registrieren: setspn -s http/CA1.cpandl.com cpandl\NdesService

Auswählen einer ZS für NDES

Sie müssen eine ZS auswählen, die der NDES-Dienst beim Ausstellen von Zertifikaten an Clients verwendet. Falls NDES auf einer ZS installiert ist, können Sie die ZS nicht auswählen, da automatisch die lokale ZS verwendet wird. Wenn NDES auf einem Computer installiert ist, der keine ZS ist, müssen Sie die Ziel-ZS auswählen. Sie können die ZS entweder über den ZS-Namen oder den Computernamen auswählen. Klicken Sie auf ZS-Name oder Computername und anschließend auf Auswählen. Die ausgewählte Option bestimmt, welches Dialogfeld im Anschluss angezeigt wird.

  • Wenn Sie auf ZS-Name geklickt haben, wird das Dialogfeld Zertifizierungsstelle auswählen mit einer Liste von ZS angezeigt, aus der Sie eine Auswahl treffen können.

  • Wenn Sie auf Computername geklickt haben, wird das Dialogfeld Computer auswählen angezeigt, in dem Sie die Standorte auswählen und den Computernamen eingeben können, den Sie als ZS verwenden möchten.

Festlegen von Registrierungsstelleninformationen

Die Seite Registrierungsstelleninformationen enthält alle optionalen und Pflichtfelder zum Einrichten des Diensts als Registrierungsstelle. Die hier eingegebenen Daten werden bei der Erstellung des Signierungszertifikats verwendet, das an den Dienst ausgestellt wird.

Konfigurieren der Kryptografie für NDES

Der Registrierungsdienst für Netzwerkgeräte verwendet zwei Zertifikate und deren Schlüssel für die Geräteregistrierung. Manche Organisationen verwenden unterschiedliche Kryptografiedienstanbieter (CSPs) zur Speicherung dieser Schlüssel, oder ändern die Länge der von diesem Dienst verwendeten Schlüssel. Nur Kryptografie-API-Dienstanbieter werden für die Registrierungsstellenschlüssel-Kryptografie-API unterstützt: Next Generation (CNG)-Anbieter werden nicht unterstützt.

Abschluss der NDES-Konfiguration

Weitere Informationen zu NDES-Konfiguration und -Betrieb finden Sie im Artikel Registrierungsdienst für Netzwerkgeräte (NDES) in Active Directory-Zertifikatdiensten (AD CS) in Microsoft TechNet.

Wenn Sie eine drahtlose Registrierung für mobile Geräte benötigen, siehe Verwenden eines Richtlinienmoduls mit dem Registrierungsdienst für Netzwerkgeräte.

Hinweis


Wenn Sie Konfigurationsänderungen für NDES oder an den Zertifikatvorlagen vornehmen, die von NDES verwendet werden, müssen Sie NDES, IIS und Zertifizierungsstellendienst beenden und neu starten.

Verwandte Themen