网络设备注册服务指南
发布日期: 2016年9月
适用于: Windows Server 2012 R2,Windows Server 2012
网络设备注册服务 (NDES) 允许在路由器和其他网络设备上运行的没有域凭据的软件基于简单证书注册协议 (SCEP) 获取证书。
备注
开发 SCEP 的目的是支持使用现有证书颁发机构 (CA) 向网络设备颁发可扩展的安全证书。 该协议支持 CA 和注册机构公钥分发、证书注册、证书吊销、证书查询和证书吊销查询。
网络设备注册服务执行以下功能:
生成并向管理员提供一次性注册密码
将注册请求提交到 CA
从 CA 检索已注册的证书,并将其转发到网络设备
NDES 配置设置
以下部分介绍你可以在安装 NDES 二进制安装文件后选择的配置选项。
为 NDES 配置服务帐户
可以配置 NDES,使其作为以下任一内容运行:
指定为服务帐户的用户帐户
Internet 信息服务 (IIS) 计算机的内置应用程序池标识
如果你选择内置应用程序池标识,则不需要其他配置。 但是,推荐配置是指定用户帐户,这需要其他配置。 指定为 NDES 服务帐户的用户帐户必须满足以下要求:
是域用户帐户
是本地的 IIS_IUSRS 组的成员
在配置的 CA 上具有请求权限
在自动配置的 NDES 证书模板上具有读取和注册权限
在 Active Directory 中具有服务主体名称 (SPN) 集
创建充当 NDES 服务帐户的域用户帐户的步骤
登录到域控制器或安装了 Active Directory 域服务远程服务器管理工具的管理计算机。 使用有权将用户添加到域的帐户打开“Active Directory 用户和计算机”。
在控制台树中,展开相应的结构,直到看到你要在其中创建用户帐户的容器。 例如,某些组织具有“服务 OU”或类似的帐户。 右键单击该容器、单击“新建”,然后单击“用户”。
在“新建对象 - 用户”文本框中,为所有字段输入相应的名称,以便明确表示你正在创建用户帐户。 请务必遵循你的组织用于创建服务帐户的策略(如果存在此类策略)。 例如,你可以输入以下内容,然后单击“下一步”。
“名字”:Ndes
“姓氏”:服务
“用户登录名”:NdesService
确保为帐户设置一个复杂的密码,并确认该密码。 根据你的组织中与服务帐户相关的安全策略配置密码选项。 如果将密码配置为具有过期时间,你应该设置一个过程,以确保按所需的时间间隔重置密码。
单击“下一步”,然后单击“已完成”。
提示
- 你还可以使用 New-ADUser Windows PowerShell® cmdlet 添加域用户帐户。
- 根据你的 Active Directory 域服务 (AD DS) 配置,你可能能够实现 NDES 的托管服务帐户或组托管服务帐户。 有关托管服务帐户的详细信息,请参阅托管服务帐户。 有关组托管服务帐户的详细信息,请参阅组托管服务帐户概述。
将 NDES 服务帐户添加到本地 IIS_IUSERS 组的步骤
在托管 NDES 服务的服务器上,打开“计算机管理”(compmgmt.msc)。
在计算机管理控制台树中的“系统工具”下,展开“本地用户和组”。 单击“组”。
在详细信息窗格中,双击**“IIS_IUSRS”**。
在“常规”选项卡中,单击“添加”。
在“选择用户、计算机、服务帐户或组”文本框中,为你已配置为服务帐户的帐户键入用户登录名。
单击“检查名称”、单击“确定”两次,然后关闭“计算机管理”。
提示
你还可以使用 net localgroup IIS_IUSRS <domain>\<username> /Add
将 NDES 服务帐户添加到本地 IIS_IUSRS 组。 必须以管理员身份运行命令提示符或 Windows PowerShell。 有关详细信息,请参阅将成员添加到本地组。
在 CA 上配置具有请求权限的 NDES 服务帐户
在 NDES 要使用的 CA 上,使用具有管理 CA 权限的帐户打开证书颁发机构控制台。
打开证书颁发机构控制台。 右键单击证书颁发机构,然后单击“属性”。
在“安全”选项卡上,你可以看到具有请求证书权限的帐户。 默认情况下,组“已验证用户”具有此权限。 你创建的服务帐户将成为“已验证用户”的成员(如果正在使用该帐户)。 如果“已验证用户”具有请求证书权限,则不需要授予其他权限。 但如果不是这样,则应在 CA 上授予 NDES 服务帐户请求证书权限。 执行此操作的步骤:
单击**“添加”**。
在“选择用户、计算机、服务帐户或组”文本框中,键入 NDES 服务帐户的名称、单击“检查名称”,然后单击“确定”。
确保选中 NDES 服务帐户。 确保选中对应于“请求证书”的“允许”复选框。 单击“确定”。
为 NDES 服务帐户设置服务主体名称
确保你使用的帐户是 Domain Admins 组的成员。 以管理员身份打开 Windows PowerShell 或命令提示符。
使用以下命令语法为 NDES 服务帐户注册服务器主体名称 (SPN):
setspn -s http/<computername> <domainname>\<accountname>
。 例如,若要在名为 CA1 的计算机上运行的 cpandl.com 域中注册登录名为 NdesService 的服务帐户,请运行以下命令:setspn -s http/CA1.cpandl.com cpandl\NdesService
为 NDES 选择 CA
你必须为 NDES 服务选择要在将证书颁发给客户端时使用的 CA。 如果 NDES 已在 CA 上安装,则没有机会选择 CA,因为已使用本地 CA。 在不是 CA 的计算机上安装 NDES 时,你必须选择目标 CA。 你可以按 CA 名称或按计算机名称选择 CA。 单击“CA 名称”或“计算机名称”,然后单击“选择”。 所选选项将确定下一步显示的对话框类型。
如果单击了“CA 名称”,将向你显示“选择证书颁发机构”对话框,该对话框具有你可从中进行选择的 CA 列表。
如果单击了“计算机名称”,将看到“选择计算机”对话框,你可在该对话框中设置“位置”并输入你希望指定为 CA 的计算机名称。
设置 RA 信息
在“RA 信息”页面上,将收集所有用于将服务设置为 RA 的必需和可选字段。 你在此处提供的信息将用于构造颁发给服务的签名证书。
为 NDES 配置加密
网络设备注册服务使用两个证书及其密钥来启用设备注册。 各组织可能希望使用不同的加密服务提供程序 (CSP) 来存储这些密钥,或者希望更改此服务使用的密钥长度。 RA 密钥仅支持用于加密应用程序编程接口 (CryptoAPI) 服务提供程序(加密 API):下一代加密技术 (CNG) 提供程序不受支持。
完成 NDES 配置
你可以在 Microsoft TechNet 上的以下文章中了解有关 NDES 配置和操作的详细信息:Active Directory 证书服务 (AD CS) 中的网络设备注册服务 (NDES)。
如果你需要无线注册移动设备,请参阅结合使用策略模块和网络设备注册服务。
备注
如果对 NDES 或 NDES 所用的证书模板进行配置更改,则必须停止并重新启动 NDES、IIS 和 CA 服务。