Orientación para el Servicio de inscripción de dispositivos de red

  • Artículo

 

Publicado: septiembre de 2016

Se aplica a: Windows Server 2012 R2, Windows Server 2012

El Servicio de inscripción de dispositivos de red (NDES) permite que el software en los enrutadores y otros dispositivos de red que se ejecutan sin credenciales de dominio pueda obtener certificados a través del Protocolo de inscripción de certificados simple (SCEP).

Nota


SCEP se desarrolló para poder emitir certificados de forma segura y escalable a dispositivos de red por medio de las entidades de certificación (CA) existentes. Este protocolo admite la distribución de claves públicas de CA y de entidades de registro, la inscripción y revocación de certificados y las consultas relativas a certificados y a su revocación.

El Servicio de inscripción de dispositivos de red se encarga de las siguientes funciones:

  1. Genera y proporciona a los administradores contraseñas de inscripción de un solo uso.

  2. Envía las solicitudes de inscripción a las CA.

  3. Recupera los certificados inscritos de las CA y los reenvía al dispositivo de red.

Opciones de configuración de NDES

En las siguientes secciones se detallan las opciones de configuración que se pueden seleccionar después de instalar los archivos de instalación binarios de NDES.

Configurar una cuenta de servicio para NDES

NDES se puede configurar para ejecutarse de una de las siguientes formas:

  • Como una cuenta de usuario especificada como una cuenta de servicio

  • Como la identidad integrada del grupo de aplicaciones del equipo con Internet Information Services (IIS)

Si se opta por la identidad integrada del grupo de aplicaciones, no será necesario configurar nada más. Sin embargo, la configuración recomendada es especificar una cuenta de usuario, que sí que requiere configuración extra. La cuenta de usuario que se especifique como cuenta del servicio NDES debe reunir los siguientes requisitos:

  • Ser una cuenta de usuario de dominio

  • Ser miembro del grupo local IIS_IUSRS

  • Tener permisos de solicitud en la CA configurada

  • Tener permisos de lectura e inscripción en la plantilla de certificado de NDES, que se configura automáticamente

  • Tener un nombre de entidad de seguridad de servicio (SPN) definido en Active Directory

Para crear una cuenta de usuario de dominio que sea la cuenta de servicio de NDES

  1. Inicia sesión en el controlador de dominio o equipo administrativo en el que se haya instalado Herramientas de administración remota del servidor de Servicios de dominio de Active Directory. Abre Usuarios y equipos de Active Directory con una cuenta que tenga permisos para agregar usuarios al dominio.

  2. En el árbol de la consola, expande la estructura hasta ver el contenedor en el que quieras crear la cuenta de usuario (por ejemplo, algunas organizaciones tienen una cuenta llamada OU de servicios o similar). Haz clic con el botón secundario en el contenedor, haz clic en Nuevo y, a continuación, en Usuario.

  3. En los cuadros de texto Nuevo objeto - Usuario, escribe los nombres que correspondan a cada uno de los campos y que denoten que se está creando una cuenta de usuario. Asegúrate de seguir la directiva de la organización para crear cuentas de servicio (si la hay). Como ejemplo, se podría especificar lo siguiente y hacer clic en Siguiente.

    1. Nombre: Ndes

    2. Apellidos: Service

    3. Nombre de inicio de sesión de usuario: NdesService

  4. Define una contraseña de cierta complejidad para la cuenta y confírmala. Configura las opciones de contraseña de forma que se respeten las directivas de seguridad de la organización relativas a las cuentas de servicio. Si la contraseña está configurada para que expire, deberá existir un proceso que permita restablecerla en los intervalos necesarios.

  5. Haz clic en Siguiente y, después, en Finalizado.

Sugerencia

  • También puedes usar el cmdlet New-ADUser Windows PowerShell® para agregar una cuenta de usuario de dominio.
  • Según cuál sea la configuración de Servicios de dominio de Active Directory (AD DS), existirá la posibilidad de implementar una cuenta de servicio administrada o una cuenta de servicio administrada de grupo para NDES. Para obtener más información sobre las cuentas de servicio administradas, consulta Cuentas de servicio administradas. Para obtener más información sobre las cuentas de servicio administradas de grupo, consulta Información general de las cuentas de servicio administradas de grupo.
Para agregar la cuenta de servicio de NDES al grupo local IIS_IUSERS

  1. En el servidor donde se hospeda el servicio de NDES, abre Administración de equipos (compmgmt.msc).

  2. En el árbol de la consola de Administración de equipos, en Herramientas del sistema, expande Usuarios y grupos locales. Haz clic en Grupos.

  3. En el panel de detalles, haga doble clic en IIS_IUSRS.

  4. En la pestaña General, haz clic en Agregar.

  5. En el cuadro de texto Seleccionar usuarios, equipos, cuentas de servicio y grupos, escribe el nombre de inicio de sesión de usuario de la cuenta que se haya configurado para ser la cuenta de servicio.

  6. Haz clic en Comprobar nombres y en Aceptar dos veces y, luego, cierra Administración de equipos.

Sugerencia


También puede usar net localgroup IIS_IUSRS <domain>\<username> /Add para agregar la cuenta de servicio de NDES al grupo local IIS_IUSRS. Hay que ejecutar el símbolo del sistema o Windows PowerShell como administrador. Para obtener más información, consulta Agregar un miembro a un grupo local.

Para configurar la cuenta de servicio de NDES con permisos de solicitud en la CA

  1. En la CA que NDES vaya a usar, abre la consola de entidad de certificación con una cuenta que tenga permisos de administración de CA.

  2. Abre la consola de entidad de certificación. Haz clic con el botón secundario en la entidad de certificación y, a continuación, haz clic en Propiedades.

  3. En la pestaña Seguridad se pueden ver las cuentas con permiso Solicitar certificados. El grupo Usuarios autenticados tiene este permiso de forma predeterminada. Cuando esté en uso, la cuenta de servicio que has creado pertenecerá a estegrupo. Por lo tanto, no será necesario concederle más permisos, siempre y cuando Usuarios autenticados tenga el permiso Solicitar certificados. Si no es así, habrá que conceder el permiso Solicitar certificados a la cuenta de servicio de NDES en la CA. Para ello:

    • Haga clic en Agregar.

    • En el cuadro de texto Seleccionar usuarios, equipos, cuentas de servicio y grupos, escribe el nombre de la cuenta de servicio de NDES, haz clic en Comprobar nombres y, luego, en Aceptar.

    • Asegúrate de que has seleccionado la cuenta de servicio de NDES. Asimismo, confirma que la casilla Permitir correspondiente a Solicitar certificados está activada. Haga clic en Aceptar.

Para definir un nombre de entidad de seguridad de servicio para la cuenta de servicio de NDES

  1. Asegúrate de que estás usando una cuenta miembro del grupo Admins. del dominio. Abre Windows PowerShell o un símbolo del sistema como administrador.

  2. Usa la siguiente sintaxis de comando para registrar el nombre de entidad de seguridad de servicio (SPN) de la cuenta de servicio de NDES: setspn -s http/<computername> <domainname>\<accountname>. Por ejemplo, para registrar una cuenta de servicio con el nombre de inicio de sesión NdesService en el dominio cpandl.com, que se ejecuta en un equipo denominado CA1, tendrías que ejecutar el siguiente comando: setspn -s http/CA1.cpandl.com cpandl\NdesService

Seleccionar una CA para NDES

Hay que seleccionar una CA para que el servicio de NDES pueda usarla al emitir certificados a los clientes. Si NDES está instalado en una CA, no existirá la posibilidad de seleccionar una CA, ya que se usa la CA local. Si NDES está instalado en un equipo que no es una CA, sí habrá que seleccionar la CA de destino. Las CA se pueden seleccionar por nombre de CA o por nombre de equipo. Haz clic en Nombre de CA o Nombre del equipo y, luego, haz clic en Seleccionar. La opción que elijas determinará el tipo de cuadro de diálogo que se va a abrir.

  • Si hiciste clic en Nombre de CA, se abrirá el cuadro de diálogo Seleccionar entidad de certificación, que muestra una lista de CA que se pueden escoger.

  • Si hiciste clic en Nombre del equipo, verás el cuadro de diálogo Seleccionar equipo, donde se pueden definir las Ubicaciones y escribir el nombre de equipo que quieras especificar como CA.

Definir la información de RA

En la página Información de RA se recogen todos los campos obligatorios y opcionales para configurar el servicio como la entidad de registro. La información que se indique aquí se usará para crear el certificado de firma que se emite al servicio.

Configurar la criptografía para NDES

El Servicio de inscripción de dispositivos de red usa dos certificados y sus claves para permitir la inscripción de dispositivos. Las organizaciones pueden usar diferentes proveedores de servicios criptográficos (CSP) para almacenar estas claves o, también, cambiar la longitud de las claves que el servicio utiliza. Para las claves de RA se admiten únicamente proveedores de servicios de Interfaz de programación de aplicaciones criptográficas (CryptoAPI). No se pueden usar proveedores de API de Cryptography Next Generation (CNG).

Completar la configuración de NDES

Puedes obtener más información sobre la configuración y las operaciones de NDES en el siguiente artículo Servicio de inscripción de dispositivos de red (NDES) en los servicios de certificados de Active Directory (AD CS). en Microsoft TechNet.

Si requieres la inscripción por aire para dispositivos móviles, consulta Uso de un módulo de directivas con el servicio de inscripción de dispositivos de red.

Nota


Si realiza cambios en la configuración para NDES o en las plantillas de certificado que usa NDES, tienes que detener y reiniciar NDES, IIS y el servicio de CA.

Contenidos relacionados