Konfigurálása hálózati eszköz regisztrációs szolgáltatás, windows azt pro
Ez a cikk ismerteti a szolgáltatás konfigurációs folyamat NDES PKI részeként a meglévő infrastruktúra, és azokat a lépéseket, amelyeket meg kell tenni, hogy engedje el a hálózati eszközhöz tanúsítvány
Informatikai infrastruktúra a vállalat
Megoszlása igazolások Windows operációs rendszerek, a hitelesítő hatóság a vállalkozás - egy viszonylag egyszerű eljárás, amely automatizálható mechanizmusok csoportházirend tanúsítvány automatikus regisztráció után a PKI-konfigurációt. Azonban a tanúsítványok kibocsátására eszközök, amelyek nem rendelkeznek számlák AD, adminisztrátorok manuálisan kell létrehozni lekérdezéseket a nyilvános kulcsú titkosítás szabványok (PKCS) és tanúsítványok telepítését a készüléken. A szervezetek több száz eszköz, nem képviseltetik magukat az AD, akkor lesz egy nagyon hosszú idő.
Összetettsége miatt a PKI infrastruktúra és változó körülmények között szükséges forgatókönyvtől függően, meg kell, hogy alaposan tanulmányozza a «Microsoft végrehajtásáról szóló jelentés a SCEP» (www.microsoft.com/downloads/details.aspx?familyid=E11780DE-819F-40D7-8B8E-10845BC8D446), első mint várni, hogy eladja NDES. Azt is érdemes kipróbálni egy laboratóriumi környezetben, mielőtt futtatná a szolgáltatás vállalati környezetben NDES.
SCEP Windows Server
NDES szolgáltatás célja a vállalatok, amelyek már telepítették PKI infrastruktúra és kíván rendelni tanúsítványok hálózati eszközök, például útválasztó és tűzfal biztonság növelése érdekében, védi a hálózati forgalom végrehajtási IPsec jelenti. Például, építésére IPsec VPN csatorna között, útválasztók között vagy laptopok és eszközök szerepelnek a hálózati kerülete. Nem minden eszköz támogatja a SCEP protokoll, ezért először konzultálnia berendezés gyártója.
tervezési szempontok
Ha a vállalat PKI infrastruktúra áll autonóm tanúsító központ, meg kell része izolált tanúsító hierarchia, amely kizárólag azokra az eszközökre, amelyek támogatják a SCEP protokoll. Más eszközök a hálózat nem bízik a gyökér tanúsító központ. Ha szervezete Cisco eszközök és a Windows kliens rendszerek nem kell bízni a hálózati eszközök, akkor fontolják meg a Cisco IOS Certification Authority szerver - igazoló központ alapuló Cisco eszközökön futó Internetwork operációs rendszer esetén. Ezen túlmenően, egyes készülékek csak korlátozott támogatás bizonyos konfigurációk PKI infrastruktúra, beleértve a hossza a titkosítási kulcsok, alárendelt hitelesítő hatóságok és a többszintű PKI hierarchiában.
Certification Authority: önálló vagy vállalkozás?
Végrehajtás NDES szolgáltatás együtt önálló minősítő hatóság, melynek feladata annak biztosítása, hogy a tanúsítványok hálózati eszközök, több alkalmas olyan helyzetekben, amikor a Windows ügyfelek nem kell bízni a hálózati eszközök (például amikor létrehozzák a VPN-csatorna típusú router-to-router az IPsec-titkosítású) . Megosztása NDES szerver és tanúsító vállalat központja ajánlatos abban az esetben, ha a Windows kliensek telepítése VPN-kapcsolatok megkövetelik a bizalmat, hogy a hálózati eszközök.
Beállítás NDES
Nézzük meg a szerver szerepét NDES és csatlakoztassa a tanúsító a vállalkozás. Ez a standard konfiguráció, amelyben a kötvények kibocsátása a hálózati eszközök, amelyek megbízható minden Windows ügyfelek tartományhoz. Szükséged lesz egy munka igazolja kockázati centrummal, az AD könyvtár, valamint a személyre szabott, és vágja a gyökér hitelesítő hatóság.
előre beállított
Add NDES_Admin bejegyzést a helyi Rendszergazdák csoportnak a kiszolgálón NDES és Vállalati rendszergazdák AD tartomány csoportban. Kapcsolja NDES_ServiceAccount véve a helyi csoport IIS_IUSRS NDES szerveren.
párhuzamos tanúsítványok
1. Kijelző párbeszédablak engedélyezése Tanúsítványsablonok