Linee guida per il servizio Registrazione dispositivi di rete

Data di pubblicazione: settembre 2016

Si applica a: Windows Server 2012 R2, Windows Server 2012

Il servizio Registrazione dispositivi di rete consente al software installato in router e altri dispositivi di rete in esecuzione senza credenziali di dominio di ottenere certificati basati sul protocollo SCEP (Simple Certificate Enrollment Protocol).

Il servizio Registrazione dispositivi di rete esegue le operazioni seguenti:

1. Genera e fornisce le password di registrazione monouso agli amministratori

2. Invia le richieste di registrazione alla CA

3. Recupera i certificati registrati dalla CA e li inoltra al dispositivo di rete

Impostazioni di configurazione del servizio Registrazione dispositivi di rete

Nelle sezioni seguenti vengono descritte le opzioni di configurazione che si possono selezionare dopo avere installato i file di installazione binari del servizio Registrazione dispositivi di rete.

Configurare un account del servizio per il servizio Registrazione dispositivi di rete

Il servizio Registrazione dispositivi di rete può essere configurato per l'esecuzione come:

• un account utente specificato come account del servizio

• l'identità del pool di applicazioni incorporata del computer Internet Information Services (IIS)

Se si seleziona l'identità del pool di applicazioni incorporata, non sono necessarie altre operazioni di configurazione. La configurazione consigliata prevede tuttavia di specificare un account utente, che richiede operazioni di configurazione aggiuntive. L'account utente specificato come account del servizio per il servizio Registrazione dispositivi di rete deve soddisfare i requisiti seguenti:

• Essere un account utente di dominio

• Essere un membro del gruppo IIS_IUSRS locale

• Avere le autorizzazioni Richiesta per la CA configurata

• Avere le autorizzazioni Lettura e Registrazione per il modello di certificato del servizio Registrazione dispositivi di rete, che è configurato automaticamente

• Avere un nome dell'entità servizio (SPN) impostato in Active Directory

Per creare un account utente di dominio che funga da account del servizio per il servizio Registrazione dispositivi di rete

1. Accedere al controller di dominio o al computer amministrativo in cui sono installati gli Strumenti di amministrazione remota del server di Servizi di dominio Active Directory. Aprire Utenti e computer di Active Directory usando un account con le autorizzazioni per l'aggiunta di utenti al dominio.

2. Nell'albero della console espandere la struttura fino a quando non viene visualizzato il contenitore in cui si vuole creare l'account utente. Alcune organizzazioni hanno ad esempio un account Services OU o simile. Fare clic con il pulsante destro del mouse sul contenitore, quindi scegliere Nuovo e fare clic su User.

3. Nelle caselle di testo in Nuovo oggetto - Utente immettere i nomi appropriati per tutti i campi, per specificare che si sta creando un account utente. Assicurarsi di seguire i criteri aziendali per la creazione di un account del servizio, se disponibili. Ad esempio, compilare i campi seguenti e fare clic su Avanti.

   1. Nome: Ndes

   2. Cognome: Service

   3. Nome di accesso utente: NdesService

4. Impostare una password complessa per l'account e confermarla. Configurare le opzioni relative alla password in base ai criteri di sicurezza aziendali relativi agli account del servizio. Se è stata configurata una scadenza per la password, è necessario implementare un processo per garantire che la password venga reimpostata alle scadenze previste.

5. Fare clic su Avanti e quindi su Fine.

Per aggiungere l'account del servizio per il servizio Registrazione dispositivi di rete al gruppo IIS_IUSERS locale

1. Nel server in cui è ospitato il servizio Registrazione dispositivi di rete aprire Gestione computer (compmgmt.msc).

2. Nell'albero della console di Gestione computer, in Utilità di sistema espandere Utenti e gruppi locali. Fare clic su Gruppi.

3. Nel riquadro dei dettagli fare doppio clic su IIS_IUSRS.

4. Nella scheda Generale fare clic su Aggiungi.

5. Nella casella di testo Seleziona utenti, computer, account servizio o gruppi digitare il nome di accesso utente per l'account configurato come account del servizio.

6. Fare clic su Controlla nomi, quindi due volte su OK e infine chiudere Gestione computer.

Per configurare l'account del servizio per il servizio Registrazione dispositivi di rete con l'autorizzazione Richiesta per la CA

1. Nella CA da usare per il servizio Registrazione dispositivi di rete aprire la console Autorità di certificazione con un account con autorizzazioni Gestione CA.

2. Aprire la console Autorità di certificazione. Fare clic con il pulsante destro del mouse sull'autorità di certificazione e quindi scegliere Proprietà.

3. Nella scheda Sicurezza è possibile visualizzare gli account con autorizzazioni Richiesta certificati. Il gruppo Authenticated Users dispone di questa autorizzazione per impostazione predefinita. Quando è in uso, l'account del servizio creato sarà un membro del gruppo Authenticated Users. Se il gruppo Authenticated Users dispone dell'autorizzazione Richiesta certificati, non è necessario concedere autorizzazioni aggiuntive. In caso contrario, sarà necessario concedere all'account del servizio per il servizio Registrazione dispositivi di rete l'autorizzazione Richiesta certificati per la CA. A tale scopo:

   • Fare clic su Aggiungi.

   • Nella casella di testo Seleziona utenti, computer, account servizio o gruppi digitare il nome dell'account del servizio per il servizio Registrazione dispositivi di rete, fare clic su Controlla nomi e quindi su OK.

   • Verificare che l'account del servizio per il servizio Registrazione dispositivi di rete sia selezionato. Verificare che la casella di controllo Consenti corrispondente a Richiesta certificati sia selezionata. Fare clic su OK.

Per impostare un nome dell'entità servizio per l'account del servizio per il servizio Registrazione dispositivi di rete

1. Assicurarsi di usare un account che sia membro del gruppo Domain Admins. Aprire Windows PowerShell o un prompt dei comandi come amministratore.

2. Usare la sintassi dei comandi seguente per registrare il nome dell'entità server (SPN) per l'account del servizio per il servizio Registrazione dispositivi di rete: setspn -s http/<computername> <domainname>\<accountname>. Ad esempio, per registrare un account del servizio con il nome di accesso NdesService nel dominio cpandl.com in esecuzione in un computer denominato CA1, sarà necessario eseguire il comando seguente: setspn -s http/CA1.cpandl.com cpandl\NdesService

Selezionare una CA per il servizio Registrazione dispositivi di rete

È necessario selezionare una CA che verrà usata dal servizio Registrazione dispositivi di rete per il rilascio di certificati ai client. Se il servizio Registrazione dispositivi di rete è installato in una CA, non è possibile selezionare la CA perché viene usata quella locale. Se si installa il servizio Registrazione dispositivi di rete in un computer che non è una CA, è necessario selezionare la CA di destinazione. È possibile selezionare la CA in base al nome della CA o in base al nome del computer. Fare clic su Nome CA o Nome computer e quindi su Seleziona. L'opzione che si sceglie determina il tipo di finestra di dialogo che verrà presentata successivamente.

• Se si è scelto Nome CA, verrà visualizzata la finestra di dialogo Seleziona Autorità di certificazione con l'elenco delle CA disponibili per la selezione.

• Se si è scelto Nome computer, verrà visualizzata la finestra di dialogo Seleziona computer in cui è possibile impostare i Percorsi e immettere il nome del computer che si vuole specificare come CA.

Impostare le Informazioni sull'Autorità di registrazione

Nella pagina Informazioni Autorità registrazione vengono raccolti tutti i campi obbligatori e facoltativi per impostare il servizio come Informazioni Autorità registrazione. Le informazioni specificate qui verranno usate per costruire il certificato di firma rilasciato al servizio.

Configurare la crittografia per il servizio Registrazione dispositivi di rete

Nel servizio Registrazione dispositivi di rete vengono usati due certificati con le relative chiavi per abilitare la registrazione dei dispositivi. Le organizzazioni possono usare provider del servizio di crittografia (CSP) diversi per archiviare queste chiavi o modificare la lunghezza delle chiavi usate dal servizio. Per le chiavi di Informazioni Autorità di registrazione sono supportati solo i provider del servizio CryptoAPI (Cryptographic Application Programming Interface). I provider del servizio API Cryptography: Next Generation (CNG) non sono supportati.

Completare la configurazione del servizio Registrazione dispositivi di rete

Per altre informazioni sulla configurazione e il funzionamento del servizio Registrazione dispositivi di rete, vedere l'articolo relativo al servizio Registrazione dispositivi di rete in Servizi certificati Active Directory su Microsoft TechNet.

Se è necessaria la registrazione in modalità wireless per i dispositivi mobili, vedere Uso di un Modulo criteri con il servizio Registrazione dispositivi di rete.

Contenuti correlati

• Non è possibile scaricare il certificato della CA dalle pagine di registrazione Web

• Servizi certificati Active Directory: Registrazione Web

• Forum sulla sicurezza di Windows Server

• Domande frequenti su Infrastruttura a chiave pubblica (PKI) di Servizi certificati Active Directory

• Raccolta e documentazione di riferimento di Infrastruttura a chiave pubblica (PKI) di Windows

• Blog su Infrastruttura a chiave pubblica (PKI) di Windows