Hulp bij Registratieservice voor netwerkapparaten

  • Artikel

 

Gepubliceerd: september 2016

Is van toepassing op: Windows Server 2012 R2, Windows Server 2012

De Network Device Enrollment-service (NDES) staat software op routers en andere netwerkapparaten die zonder domeinreferenties worden uitgevoerd, toe om certificaten te verkrijgen op basis van het Simple Certificate Enrollment Protocol (SCEP).

Notitie


SCEP is ontwikkeld ter ondersteuning van de beveiligde en schaalbare verlening van certificaten aan netwerkapparaten via bestaande certificeringsinstanties (CA's). Het protocol ondersteunt de distributie van openbare sleutels van CA's en registratie-instanties, het inschrijven van certificaten, het intrekken van certificaten, zoekopdrachten over certificaten en zoekopdrachten naar ingetrokken certificaten.

De Network Device Enrollment-service voert de volgende functies uit:

  1. Het genereren en aanbieden van wachtwoorden voor beheerders voor eenmalige inschrijving.

  2. Het indienen van inschrijvingsaanvragen bij de CA.

  3. Het ophalen van ingeschreven certificaten bij de CA en het doorsturen ervan naar het netwerkapparaat.

Configuratie-instellingen voor de NDES

In de volgende secties worden de configuratieopties beschreven die u na de installatie van de binaire NDES-installatiebestanden kunt selecteren.

Een serviceaccount voor NDES configureren

De NDES kan als volgt worden uitgevoerd:

  • Een gebruikersaccount dat is opgegeven als een service-account.

  • De ingebouwde identiteit van de groep toepassingen van de computer met Internet Information Services (IIS).

Als u de ingebouwde identiteit van de toepassingsgroep selecteert, is geen aanvullende configuratie vereist. De aanbevolen configuratie is echter het opgeven van een gebruikersaccount. Daarvoor is aanvullende configuratie vereist. Het gebruikersaccount dat is opgegeven als het NDES-serviceaccount moet voldoen aan de volgende vereisten:

  • Het moet een domeingebruikersaccount zijn.

  • Het moet lid zijn van de lokale groep IIS_IUSRS.

  • Het moet machtigingen voor Aanvragen hebben op de geconfigureerde CA.

  • Het moet machtigingen voor Lezen en Inschrijven hebben op de NDES-certificaatsjabloon die automatisch is geconfigureerd.

  • Er moet een Service Principal Name (SPN) zijn ingesteld in Active Directory

Een domeingebruikersaccount maken om te fungeren als NDES-serviceaccount

  1. Meld u aan bij de domeincontroller of een beheercomputer waarop de hulpprogramma's voor externe-serverbeheer van Active Directory Domain Services zijn geïnstalleerd. Open Active Directory - gebruikers en computers met een account dat is gemachtigd om gebruikers toe te voegen aan het domein.

  2. Vouw in de consolestructuur de structuur open totdat u de container kunt zien waarin u het gebruikersaccount wilt maken. Sommige organisaties hebben bijvoorbeeld een organisatie-eenheid Services of soortgelijk account. Klik met de rechtermuisknop op de container, klik op Nieuw en klik op Gebruiker.

  3. Voer in de tekstvakken Nieuw Object - gebruiker passende namen in voor alle velden, zodat duidelijk is dat u een gebruikersaccount maakt. Houd u aan het beleid van uw organisatie voor het maken van een service-account, als er een dergelijk beleid bestaat. U kunt bijvoorbeeld het volgende invoeren en vervolgens op Volgende klikken.

    1. Voornaam: Ndes

    2. Achternaam: Service

    3. Aanmeldingsnaam van gebruiker: NdesService

  4. Stel een complex wachtwoord in voor het account en bevestig het wachtwoord. Configureer de wachtwoordopties in overeenstemming met het beveiligingsbeleid van uw organisatie inzake serviceaccounts. Als het wachtwoord is geconfigureerd om te verlopen, moet u een proces implementeren dat ervoor zorgt dat het wachtwoord op gezette tijden opnieuw wordt ingesteld.

  5. Klik op Volgende en klik op Voltooid.

Tip

  • U kunt ook de cmdlet Nieuw-ADUserWindows PowerShell® gebruiken voor het toevoegen van een domeingebruikersaccount.
  • Afhankelijk van de configuratie van Active Directory Domain Services (AD DS), kunt u mogelijk een beheerd serviceaccount of een beheerd serviceaccount voor een groep implementeren voor NDES. Zie Managed Service Accounts (Engelstalig) voor meer informatie over beheerde serviceaccounts. Zie Group Managed Service Accounts Overview (Engelstalig) voor meer informatie over beheerde serviceaccounts voor een groep.
Het NDES-serviceaccount toevoegen aan de lokale groep IIS_IUSERS

  1. Open Computerbeheer (compmgmt.msc) op de server die als host voor de NDES-service fungeert.

  2. Vouw onder Systeemwerkset in Computerbeheer de vertakking Lokale gebruikers en groepen uit. Klik op Groepen.

  3. Dubbelklik in het detailvenster op IIS_IUSRS.

  4. Klik op het tabblad Algemeen op Toevoegen.

  5. Voer in het tekstvak Gebruikers, computers, serviceaccounts of groepen selecteren de gebruikersnaam in voor aanmelding voor het account dat u hebt geconfigureerd als serviceaccount.

  6. Klik op Namen controleren, klik tweemaal op OK en sluit Computerbeheer.

Tip


U kunt ook net localgroup IIS_IUSRS <domain>\<username> /Add gebruiken om het NDES-serviceaccount toe te voegen aan de lokale groep IIS_IUSRS. De opdrachtprompt of Windows PowerShell moet worden uitgevoerd als Administrator. Zie Een lid toevoegen aan een lokale groep voor meer informatie.

Het NDES-serviceaccount configureren met aanvraagmachtiging voor de CA

  1. Open de console Certificeringsinstantie op de CA die door de NDES wordt gebruikt met een account met machtigingen voor het beheren van de CA.

  2. Open de console Certificeringsinstantie. Klik met de rechtermuisknop op de CA en klik op Eigenschappen.

  3. Op het tabblad Beveiliging ziet u de accounts die gemachtigd zijn om certificaten aan te vragen. Aan de groep Geverifieerde gebruikers is deze machtiging standaard toegevoegd. Het serviceaccount dat u hebt gemaakt wordt lid van Geverifieerde gebruikers wanneer het in gebruik is. U hoeft geen aanvullende machtigingen te verlenen als Geverifieerde gebruikers over de machtiging Certificaten aanvragen beschikt. Als dat niet het geval is, moet u het NDES-serviceaccount echter de machtiging Certificaten aanvragen voor de CA verlenen. Hiervoor doet u het volgende:

    • Klik op Toevoegen.

    • Voer in het tekstvak Gebruikers, computers, serviceaccounts of groepen selecteren de naam in het NDES-serviceaccount, klik op Namen controleren en klik op OK.

    • Controleer of het NDES-serviceaccount is geselecteerd. Controleer of het selectievakje Toestaan voor Certificaten aanvragen is ingeschakeld. Klik op OK.

Een SPN instellen voor het NDES-serviceaccount

  1. Controleer of u een account gebruikt dat lid is van de groep Administrators. Open Windows PowerShell of een opdrachtprompt als administator.

  2. Gebruik de volgende opdrachtsyntaxis voor het registreren van de Server Principal Name (SPN) voor het NDES-serviceaccount: setspn -s http/<computername> <domainname>\<accountname>. Als u bijvoorbeeld een serviceaccount wilt registeren met de naam NdesService in het domein cpandl.com dat wordt uitgevoerd op een computer met de naam CA1, moet u de volgende opdracht uitvoeren: setspn -s http/CA1.cpandl.com cpandl\NdesService.

Een CA selecteren voor de NDES

U moet een CA selecteren voor het NDES-serviceaccount dat wordt gebruikt voor het verlenen van certificaten aan clients. Als de NDES is geïnstalleerd op een CA, kunt u geen CA selecteren omdat dan de lokale CA wordt gebruikt. Wanneer u de NDES installeert op een computer die geen CA is, moet u een doel-CA selecteren. U kunt de CA selecteren aan de hand van de CA-naam of de computernaam. Klik op CA-naam of Computernaam en klik op Selecteren. De optie die u kiest, bepaalt het type dialoogvenster dat vervolgens wordt weergegeven.

  • Als u hebt geklikt op CA-naam, krijgt u het dialoogvenster Certificeringsinstantie selecteren te zien. Dit dialoogvenster bevat een lijst met CA's waaruit u kunt kiezen.

  • Als u hebt geklikt Computernaam, krijgt u het dialoogvenster Computer selecteren te zien. Hier kunt u de Locaties instellen en de naam invoeren van de computer die u wilt opgeven als de CA.

RA-gegevens instellen

Op de pagina RA-gegevens worden alle vereiste en optionele velden voor het instellen van de service als de RA verzameld. De informatie die u hier verstrekt, wordt gebruikt voor het opstellen van het handtekeningcertificaat dat wordt verleend aan de service.

Cryptografie voor de NDES configureren

De Network Device Enrollment-service gebruikt twee certificaten en de sleutels daarvan om het inschrijven van apparaten mogelijk te maken. Het is mogelijk dat organisaties andere cryptografische serviceproviders (CSP's) willen gebruiken voor het opslaan van deze sleutels, of dat ze de lengte van de sleutels die worden gebruikt door de service, willen veranderen. Alleen de CryptoAPI-serviceproviders (Cryptographic Application Programming Interface) worden ondersteund voor de RA-sleutels. Cryptography API: Next Generation (CNG)-providers worden niet ondersteund.

NDES-configuratie voltooien

Meer informatie over de configuratie en werking van NDES vindt u in het volgende artikel Network Device Enrollment Service (NDES) in Active Directory Certificate Services (AD CS) op Microsoft TechNet (Engelstalig).

Zie Een beleidsmodule gebruiken met de registratieservice voor netwerkapparaten als u mobiele apparaten draadloos wilt kunnen inschrijven.

Notitie


Als u wijzigingen aanbrengt aan de configuratie voor NDES of aan de certificaatsjablonen die door NDES worden gebruikt, moet u NDES, IIS en de CA-service stoppen en opnieuw starten.

Verwante inhoud