在server 2012 R2配置NDES服务通过SCEP协议获得证书
使用server 2012 R2配置SCEP服务
NDES服务
网络设备注册服务(NDES)允许路由器和其他没有域凭据运行的网络设备上的软件基于简单证书注册协议(SCEP)获得证书。
SCEP旨在通过使用现有的证书颁发机构(CA)支持向网络设备安全,可扩展地颁发证书。该协议支持CA和***构的公钥分发,证书注册,证书吊销,证书查询和证书吊销查询。
网络设备注册服务执行以下功能:
- 生成并向管理员提供一次性注册密码
- 向CA提交注册请求
- 从CA检索已注册的证书,并将其转发到网络设备
SCEP协议
SCEP是包括Microsoft和Cisco在内的多家制造商支持的协议,旨在使证书发行更加容易,尤其是在大规模环境中。
它分几个步骤进行:
- 该SCEP服务器产生一次性密码(“注册质询密码”),客户端获取到注册质询密码后,客户端生成**对,并将证书签名请求与一次性密码一起发送到SCEP服务器。
- 该SCEP服务器验证客户端证书数据使得现有的签名证书给客户端。
- 客户端定期轮询SCEP服务器,直到其签名证书可用为止。然后,客户端可以获取签名证书并进行安装。
安装AD证书服务
- 打开服务器管理器
- 在“ 角色”部分中,点击添加角色和功能。选择“ Active Directory证书服务” 角色。
- 一直点击下一步,这里“ Active Directory证书服务”我都选择了安装,最主要的是安装证书颁发机构、网络设备注册服务(SCEP服务)、联机响应程序(OCSP服务可选)
- 最后安装
- 安装完成后在服务器管理器的顶部栏旗杆上,应该看到一个警告标志(➀),单击,然后在点击“ 配置Active Directory证书服务”链接(➁)上。
接下来就配置CA服务器·
PS:网上盗图,大概就是这个意思
AD CS配置CA服务器
- 在角色服务上证书颁发机构和网络设注册服务(SCEP服务)不能同时安装,先安装证书颁发机构
-
设置类型选择独立CA
-
CA类型选择根CA
- 私钥—> 创建新的私钥
- 加密选择默认SHA1,**长度2048,设备注册SCEP时选择key也要是2048
- CA公用名称随便配,设备匹配的时候记得配置保持一致的公用名称
- 有效期默认5年,可以按需配置
- 证书数据库默认即可
- 确认后点击配置
- 配置完成后有个弹窗是否需要配置其他角色服务,选择是
AD CS配置SCEP服务
- 选择网络设备注册服务
- NDES的服务账户可选择指定服务账户和使用内置应用服务池标识
两者区别https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831498(v=ws.11)?redirectedfrom=MSDN#ServiceAcct
这里偷懒直接选择使用内置应用程序池标识
3. RA信息按照需求填
4. NDES加密选择默认
5. 确认以后点击配置
6. 登陆http://localhost/certsrv/mscep/mscep.dll看到可以正常使用了
7. 登陆http://localhost/certsrv/mscep_admin/可以看到注册质询密码,60分钟后过期
8. 运行certsrv.msc可以看到配置的证书
设备上配置注册SCEP
- 通常访问url http://10.180.94.190/certsrv/mscep/mscep.dll
- 需要配置注册质询密码
- 配置**通常2048
- 配置公用名称