Diretrizes de serviço de registro de dispositivo de rede

  • Artigo

 

Publicado: setembro de 2016

Aplicável a: Windows Server 2012 R2, Windows Server 2012

O NDES (Serviço de Registro de Dispositivo de Rede) permite usar software em roteadores e outros dispositivos de rede executados sem credenciais de domínio para obter certificados baseados no protocolo SCEP.

Dica


O protocolo SCEP foi desenvolvido para dar suporte à emissão segura e escalonável de certificados para dispositivos de rede usando CAs (autoridades de certificação) existentes. O protocolo dá suporte à distribuição de AC e de chave pública de autoridade de registro, registro de certificado, revogação de certificado, consultas de certificado e consultas de revogação de certificado.

O Serviço de Registro de Dispositivo de Rede realiza as seguintes funções:

  1. Gera e fornece senhas de uso único de registro para os administradores

  2. Envia solicitações de registro para a AC

  3. Recupera os certificados registrados da AC e encaminha-os para os dispositivos de rede

Definições de configuração de NDES

As seções a seguir descrevem as opções de configuração que você pode selecionar depois de instalar os arquivos binários de instalação da NDES.

Configurar uma conta de serviço para o NDES

O NDES pode ser configurado para ser executado das seguintes maneiras:

  • Uma conta de usuário especificada como conta de serviço

  • A identidade do pool de aplicativos integrados do computador de ISS (Serviços de Informações da Internet)

Se você selecionar a identidade de pools de aplicativos integrados, nenhuma configuração adicional será necessária. Contudo, a configuração recomendada é especificar uma conta de usuário, o que pode pedir configurações adicionais. A conta de usuário especificada como conta de serviço de NDES deverá cumprir os seguintes requisitos:

  • Ser uma conta de usuário do domínio

  • Ser um membro do grupo local IIS_IUSRS

  • Possuir as permissões de solicitação na AC configurada

  • Possuir as permissões de leitura e registro no modelo do certificado de NDES, o que é configurado automaticamente

  • Possuir um SPN (Nome de Entidade de Serviço) no Active Directory

Criar uma conta de usuário de domínio para agir como conta de serviço de NDES

  1. Entrar no controlador de domínio ou computador administrativo com as Ferramentas de Administração de Servidor Remoto dos Serviços de Domínio Active Directory instaladas. Abra Usuários e computadores do Active Directory usando uma conta com permissão para adicionar usuários ao domínio.

  2. Na árvore do console, expanda a estrutura até ver o contêiner onde você deseja criar a conta de usuário. Por exemplo, algumas organizações possuem Serviços de UO ou uma conta semelhante. Clique com o botão direito do mouse no contêiner, clique em Novo e depois em Usuário.

  3. Nas caixas de texto Novo objeto - Usuário, digite os nomes apropriados para todos os campos para esclarecer que uma conta de usuário está sendo criada. Sempre siga as políticas da sua organização para a criação de contas, caso existam. Como exemplo, você poderia digitar o seguinte e depois clicar em Avançar.

    1. Nome: Ndes

    2. Sobrenome: Serviço

    3. Nome de logon do usuário: NdesService

  4. Você deverá definir e confirmar uma senha complexa para a conta. Configure as opções de senha adequadas conforme as políticas de segurança da sua organização com relação a contas de serviço. Se a senha for configurada para expirar, deverá existir um processo para redefinir a senha nos intervalos requeridos.

  5. Clique em Avançar e em Concluído.

Dica

  • Você também pode usar o cmdlet New-ADUser Windows PowerShell® para adicionar uma conta de usuário de domínio.
  • Dependendo da configuração do AD DS, você poderá implementar uma Conta de Serviço Gerenciado ou Conta de Serviço Gerenciado de Grupo ao NDES. Para obter mais informações sobre as contas de serviço gerenciado, consulte Contas de serviço gerenciado. Para obter mais informações sobre as contas de serviço gerenciado de grupo, consulte Visão geral das contas de serviço gerenciado de grupo.
Para adicionar a conta de serviço do NDES ao grupo local IIS_IUSERS

  1. No servidor host do serviço de NDES, abra o Gerenciamento do computador (compmgmt.msc).

  2. Na árvore de console do Gerenciamento do computador, em Ferramentas do sistema, expanda Usuários e grupos locais. Clique em Grupos.

  3. No painel de detalhes, clique duas vezes em IIS_IUSRS.

  4. Na guia Geral, clique em Adicionar.

  5. Na caixa de texto Usuários, Computadores, Contas de serviço ou Grupos selecionados, digite o nome de login do usuário para a conta que você configurou para ser a conta de serviço.

  6. Clique em Verificar nomes, clique em OK duas vezes e feche Gerenciamento do computador.

Dica


Você também pode usar net localgroup IIS_IUSRS <domain>\<username> /Add para adicionar a conta de serviço do NDES ao grupo local IIS_IUSRS. O prompt de comando ou Usando o Windows PowerShell deve ser executado como Administrador. Para obter mais informações, consulte Adicionar um membro a um grupo local.

Para configurar a conta de serviço de NDES com permissão de solicitação na AC

  1. Na AC que deve ser usada pelo NDES, abra o console da Autoridade de Certificação com uma conta que possui permissões para gerenciar CA.

  2. Abra o console da Autoridade de Certificação. Clique com o botão direito do mouse na certificação de autoridade e clique em Propriedades.

  3. Na guia Segurança, você pode ver as contas que possuem permissão de Solicitação de Certificado. Por padrão, o grupo Usuários autenticados possui esta permissão. A conta de serviço criada será um membro de Usuários autenticados quando estiver em uso. Não é necessário conceder permissões adicionais se os Usuários autenticados possuírem permissão de Solicitação de Certificado. Contudo, se este não for o caso, você deverá conceder permissão de Solicitação de Certificado para a conta de serviço de NDES na AC. Para fazer isso:

    • Clique em Adicionar.

    • Na caixa de texto Selecionar usuários, computadores, contas de serviço ou grupos, digite o nome da conta de serviço de NDES, clique em Verificar nomes e em OK.

    • Verifique se a conta de serviço de NDES foi selecionada. Verifique se a caixa de seleção Permitir correspondente a Solicitar Certificados está selecionada. Clique em OK.

Para definir um nome de entidade de serviço para a conta de serviço de NDES

  1. Certifique-se de usar uma conta membro do grupo de Admins. do Domínio. Abra Usando o Windows PowerShell ou um prompt de comando como um administrador.

  2. Use a sintaxe de comando a seguir para registrar o SPN (nome da entidade do servidor) para a conta de serviço do NDES: setspn -s http/<computername> <domainname>\<accountname>. Por exemplo, para registrar uma conta de serviço com o nome de logon NdesService no domínio cpandl.com que está em execução em um computador chamado CA1, execute o seguinte comando: setspn -s http/CA1.cpandl.com cpandl\NdesService

Selecione uma AC para NDES

Você deverá selecionar uma AC para o serviço de NDES usar ao emitir certificados para clientes. Se o NDES estiver instalado em uma AC, você não poderá selecionar uma AC, pois a AC local será usada. Ao instalar a NDES em um computador que não é uma AC, você deverá selecionar a AC de destino. Você pode selecionar a AC pelo nome dela ou pelo nome do computador. Clique em Nome de Autoridade de Certificação ou Nome do computador e clique em Selecionar. A opção escolhida determinará o tipo de caixa de diálogo apresentado a seguir.

  • Se você clicou em Nome de Autoridade de Certificação, a caixa de diálogo Selecionar Autoridade de Certificação será exibida, mostrando uma lista de CAs disponíveis para escolher.

  • Se você clicou em Nome do computador, a caixa de diálogo Selecionar computador será exibida, em que você poderá definir os Locais e digitar o nome do computador que você deseja especificar como AC.

Definir informações de RA

Na página de Informações de RA, encontram-se todos os campos obrigatórios e opcionais para configurar o serviço enquanto o RA é coletado. As informações fornecidas aqui serão usadas para criar o certificado de assinatura emitido para o serviço.

Configurar criptografia para NDES

O Serviço de Registro de Dispositivo de Rede usa dois certificados e suas chaves para habilitar o registro do dispositivo. As organizações poderão usar CSPs (Provedores de Serviços Criptográficos) diferentes para armazenar essas chaves, ou poderão desejar alterar a extensão das chaves usadas pelo serviço. Há suporte somente aos provedores de serviços CyptoAPI (Interface de Programação de Aplicativos Criptográficos) para as chaves de RA. Provedores CNG: (Criptografia da Nova Geração) não têm suport.

Configuração completa de NDES

Você pode aprender mais sobre configuração e a operação de NDES no seguinte artigo NDES (Serviço de Registro de Dispositivo de Rede) no AD CS (Serviços de Certificados do Active Directory). no Microsoft TechNet.

Se você precisar de registro sem fio para dispositivos móveis, consulte Usando um Módulo de Política com o Serviço de Registro de Dispositivo de Rede.

Dica


Se você fizer alterações de configuração para NDES ou para os modelos de certificado usados pelo NDES, deve parar e reiniciar o NDES, o IIS e o serviço de AC.

Conteúdo relacionado