在server 2012 R2配置NDES服务通过SCEP协议获得证书

NDES服务

网络设备注册服务(NDES)允许路由器和其他没有域凭据运行的网络设备上的软件基于简单证书注册协议(SCEP)获得证书。

SCEP旨在通过使用现有的证书颁发机构(CA)支持向网络设备安全,可扩展地颁发证书。该协议支持CA和注册机构的公钥分发,证书注册,证书吊销,证书查询和证书吊销查询。

网络设备注册服务执行以下功能:

  1. 生成并向管理员提供一次性注册密码
  2. 向CA提交注册请求
  3. 从CA检索已注册的证书,并将其转发到网络设备

SCEP协议

SCEP是包括Microsoft和Cisco在内的多家制造商支持的协议,旨在使证书发行更加容易,尤其是在大规模环境中。

它分几个步骤进行:

  1. 该SCEP服务器产生一次性密码(“注册质询密码”),客户端获取到注册质询密码后,客户端生成密钥对,并将证书签名请求与一次性密码一起发送到SCEP服务器。
  2. 该SCEP服务器验证客户端证书数据使得现有的签名证书给客户端。
  3. 客户端定期轮询SCEP服务器,直到其签名证书可用为止。然后,客户端可以获取签名证书并进行安装。

安装AD证书服务

  1. 打开服务器管理器
  2. 在“ 角色”部分中,点击添加角色和功能。选择“ Active Directory证书服务” 角色。
  3. 一直点击下一步,这里“ Active Directory证书服务”我都选择了安装,最主要的是安装证书颁发机构、网络设备注册服务(SCEP服务)、联机响应程序(OCSP服务可选)
    在这里插入图片描述
  4. 最后安装
  5. 安装完成后在服务器管理器的顶部栏旗杆上,应该看到一个警告标志(➀),单击,然后在点击“ 配置Active Directory证书服务”链接(➁)上。
    接下来就配置CA服务器·
    PS:网上盗图,大概就是这个意思
    在这里插入图片描述

AD CS配置CA服务器

  1. 在角色服务上证书颁发机构网络设注册服务(SCEP服务)不能同时安装,先安装证书颁发机构
    在这里插入图片描述
  2. 设置类型选择独立CA
    在这里插入图片描述
  3. CA类型选择根CA
    在这里插入图片描述
  4. 私钥—> 创建新的私钥
    在这里插入图片描述
  5. 加密选择默认SHA1,密钥长度2048,设备注册SCEP时选择key也要是2048
    在这里插入图片描述
  6. CA公用名称随便配,设备匹配的时候记得配置保持一致的公用名称
    在这里插入图片描述
  7. 有效期默认5年,可以按需配置
    在这里插入图片描述
  8. 证书数据库默认即可
    在这里插入图片描述
  9. 确认后点击配置
    在这里插入图片描述
  10. 配置完成后有个弹窗是否需要配置其他角色服务,选择是
    在这里插入图片描述

AD CS配置SCEP服务

  1. 选择网络设备注册服务
    在这里插入图片描述
  2. NDES的服务账户可选择指定服务账户和使用内置应用服务池标识
    在这里插入图片描述
    在这里插入图片描述

两者区别https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831498(v=ws.11)?redirectedfrom=MSDN#ServiceAcct
在这里插入图片描述
在这里插入图片描述
这里偷懒直接选择使用内置应用程序池标识
3. RA信息按照需求填
在这里插入图片描述
4. NDES加密选择默认
在这里插入图片描述
5. 确认以后点击配置
在这里插入图片描述
6. 登陆http://localhost/certsrv/mscep/mscep.dll看到可以正常使用了
在这里插入图片描述
7. 登陆http://localhost/certsrv/mscep_admin/可以看到注册质询密码,60分钟后过期
在这里插入图片描述
8. 运行certsrv.msc可以看到配置的证书

设备上配置注册SCEP

  1. 通常访问url http://10.180.94.190/certsrv/mscep/mscep.dll
  2. 需要配置注册质询密码
  3. 配置密钥通常2048
  4. 配置公用名称
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值