在server 2012 R2配置NDES服务通过SCEP协议获得证书

最新推荐文章于 2024-03-16 09:42:19 发布
最新推荐文章于 2024-03-16 09:42:19 发布
阅读量2.5k 收藏 9
点赞数
分类专栏: 证书 文章标签: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ly_6118/article/details/105818544
版权

使用server 2012 R2配置SCEP服务

NDES服务

网络设备注册服务(NDES)允许路由器和其他没有域凭据运行的网络设备上的软件基于简单证书注册协议(SCEP)获得证书。

SCEP旨在通过使用现有的证书颁发机构(CA)支持向网络设备安全,可扩展地颁发证书。该协议支持CA和注册机构的公钥分发,证书注册,证书吊销,证书查询和证书吊销查询。

网络设备注册服务执行以下功能:

  1. 生成并向管理员提供一次性注册密码
  2. 向CA提交注册请求
  3. 从CA检索已注册的证书,并将其转发到网络设备

SCEP协议

SCEP是包括Microsoft和Cisco在内的多家制造商支持的协议,旨在使证书发行更加容易,尤其是在大规模环境中。

它分几个步骤进行:

  1. 该SCEP服务器产生一次性密码(“注册质询密码”),客户端获取到注册质询密码后,客户端生成密钥对,并将证书签名请求与一次性密码一起发送到SCEP服务器。
  2. 该SCEP服务器验证客户端证书数据使得现有的签名证书给客户端。
  3. 客户端定期轮询SCEP服务器,直到其签名证书可用为止。然后,客户端可以获取签名证书并进行安装。

安装AD证书服务

  1. 打开服务器管理器
  2. 在“ 角色”部分中,点击添加角色和功能。选择“ Active Directory证书服务” 角色。
  3. 一直点击下一步,这里“ Active Directory证书服务”我都选择了安装,最主要的是安装证书颁发机构、网络设备注册服务(SCEP服务)、联机响应程序(OCSP服务可选)
    在这里插入图片描述
  4. 最后安装
  5. 安装完成后在服务器管理器的顶部栏旗杆上,应该看到一个警告标志(➀),单击,然后在点击“ 配置Active Directory证书服务”链接(➁)上。
    接下来就配置CA服务器·
    PS:网上盗图,大概就是这个意思
    在这里插入图片描述

AD CS配置CA服务器

  1. 在角色服务上证书颁发机构网络设注册服务(SCEP服务)不能同时安装,先安装证书颁发机构
    在这里插入图片描述
  2. 设置类型选择独立CA
    在这里插入图片描述
  3. CA类型选择根CA
    在这里插入图片描述
  4. 私钥—> 创建新的私钥
    在这里插入图片描述
  5. 加密选择默认SHA1,密钥长度2048,设备注册SCEP时选择key也要是2048
    在这里插入图片描述
  6. CA公用名称随便配,设备匹配的时候记得配置保持一致的公用名称
    在这里插入图片描述
  7. 有效期默认5年,可以按需配置
    在这里插入图片描述
  8. 证书数据库默认即可
    在这里插入图片描述
  9. 确认后点击配置
    在这里插入图片描述
  10. 配置完成后有个弹窗是否需要配置其他角色服务,选择是
    在这里插入图片描述

AD CS配置SCEP服务

  1. 选择网络设备注册服务
    在这里插入图片描述
  2. NDES的服务账户可选择指定服务账户和使用内置应用服务池标识
    在这里插入图片描述
    在这里插入图片描述

两者区别https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831498(v=ws.11)?redirectedfrom=MSDN#ServiceAcct
在这里插入图片描述
在这里插入图片描述
这里偷懒直接选择使用内置应用程序池标识
3. RA信息按照需求填
在这里插入图片描述
4. NDES加密选择默认
在这里插入图片描述
5. 确认以后点击配置
在这里插入图片描述
6. 登陆http://localhost/certsrv/mscep/mscep.dll看到可以正常使用了
在这里插入图片描述
7. 登陆http://localhost/certsrv/mscep_admin/可以看到注册质询密码,60分钟后过期
在这里插入图片描述
8. 运行certsrv.msc可以看到配置的证书

设备上配置注册SCEP

  1. 通常访问url http://10.180.94.190/certsrv/mscep/mscep.dll
  2. 需要配置注册质询密码
  3. 配置密钥通常2048
  4. 配置公用名称
ly_6118
关注
专栏目录
锐捷网络——CA数字证书配置——路由器通过SCEP在线获取数字证书
君逍遥o
09-15 667
在路由器上通过SCEP协议在线获取数字证书,通过该方式获取数字证书时需保证路由器与CA服务器能够正常通信。
视频教程-MCSE2012之412视频课程:配置WinSrv 2012 R2服务-微软认证
weixin_29102567的博客
05-28 210
MCSE2012之412视频课程:配置WinSrv 2012 R2服务 13...
最新微软安全软件SCEP 4.3.215(支持win2012
03-27
最新微软安全软件SCEP 4.3.215(支持win2012
scep 简单证书配置协议
tsh185的专栏
06-25 3380
scep 简单证书配置协议 Simple Certificate Enrollment Protocol (SCEP)是PKI协议体系的一部分, 它能安全、可靠的为网络设备在线提供数字证书. SCEP服务支持下列操作: CA和RA公钥的发布. 数字证书管理. 数字证书和CRL查询.
scep(简单证书注册协议)
木小鱼的笔记
08-07 1万+
 协议实现:    http://www.urut.ch/scep/    JSCEP     http://openscep.othello.ch/   OpenSCEP
SCEP协议简介
weixin_44966126的博客
08-22 8646
1
sscep: 安全简单证书交换协议工具
最新发布
gitblog_00039的博客
03-16 440
sscep: 安全简单证书交换协议工具 如果你需要在企业内部或外部安全地分发证书,那么sscep是你的理想选择。它是一个简单的命令行工具,实现了基于SCEP(Simple Certificate Enrollment Protocol)的证书请求、注册和更新功能。 什么是SCEPSCEP是一种用于自动化证书申请、注册和撤销的标准协议。它可以用于自动化的设备部署,如无线接入点、打印机和其他不需要...
scep:转到SCEP服务器
02-19
scep是一个简单的证书注册协议服务器和客户端 安装 二进制版本在发行页面上可用。 编译 要编译SCEP客户端和服务器,有一些要求。 您必须具有Go编译器。 编译器通常在golang软件包。 您必须为$ GOPATH设置一个...
NDes - .Net Discrete Event Simulation-开源
07-14
在.NET环境,NDes项目提供了一个开源框架,使得开发人员能够利用C#等语言构建离散事件模拟应用。 NDes的核心组件是`NDes.Core.dll`,这是一个动态链接库,包含了离散事件模拟的基本构造块和算法。`NDes.Core.pdb`...
【Java】自建IOS应用(IPA)发布服务器
Mr_EvanChen的Blog
07-10 990
简单描述一下总的过程:在某个后台上(版本发布平台)上传原始的ipa文件,解析ipa(主要是解析info.plist,从获取软件名、版本、icons等;解析embedded.mobileprovision,获取证书过期时间),生成一个新的plist文件,最终将ipa、新的plist、图标上传至发布服务器。这个plist文件里面会指向这个ipa的地址,最终在Safari上访问 itms-services://?action=download-manifest&url=plist文件 就可...
SystemCenter2012R2
01-08
SystemCenter2012R2基础架构的部署和管理
sscep:SSCEPSCEP协议的命令行客户端
05-23
SSCEP-适用于Unix的简单SCEP客户端 版权所有(c)Jarkko Turkulainen2003。保留所有权利。 有关许可信息,请参阅文件COPYRIGHT。 什么是SSCEP? SSCEPSCEP(思科系统的简单证书注册协议)的仅客户端实现。 SSCEP是为OpenBSD的isakmpd设计的,但是它可以与任何装有最新编译器和OpenSSL工具包库的Unix系统配合使用。 什么情景? (摘自《思科系统白皮书》): SCEP是一种PKI通信协议,通过使用PKCS#7和PKCS#10来利用现有技术。 SCEP是Verisign,Inc.为Cisco Systems,Inc.开发的注册协议的演变。它现在在客户端和CA实施均得到广泛的支持。 SCEP的目标是在可能的情况下使用现有技术以可扩展的方式支持向网络设备安全地颁发证书。 该协议支持以下操作: CA和RA公钥分发
PKI WINDOWS MISC
04-06
7. **You cannot enroll for a certificate that is larger than 4096 bits on an SCEP client in Windows Server 2008.mht**:这个问题表明在Windows Server 2008上的SCEP客户端无法申请超过4096位的证书,可能需要...
PKI体系结构之SCEP
weixin_34245749的博客
10-09 445
PKI的基本组成:     1 终端实体 证书的申请者和持有者。既证书格式的主体。 2 认证心(CA) CA 是证书的颁发机构,是PKI 的核心,职责是接收终端用户的申请,决定是否为其颁发证书;处理证书的更新请求;处理证书的查询...
windows server 2003配置CA服务器通过SCEP颁发证书
有技术的机械师
08-06 8421
选择CA模式       在建立认证服务之前,选择一种适应需要的认证模式是非常关键的,安装认证服务时可选择4种CA模式,每种模式都有各自的性能和特性。       企业根CA       企业根CA是认证体系最高级别的证书颁发机构。它通过活动目录来识别申请者,并确定该申请者是否对特定证书有访问权限,。如果只对组织的用户和计算机颁发证书,则需建立一个企业的根CA。一般来讲,企业
配置微软CA服务器+SCEP
weixin_33772645的博客
07-13 531
配置微软CA服务器 CA安装使用注意事项: 操作系统必须windows2000 serverwindows 2003 安装前,系统系统必须安装IIS服务。– 进入控制面板,进入添加或删除程序,点“添加/删除Windows组件”,弹出组件向导界面,双击“应用程序服务”,进入应用服务程序界面,勾选 “Internet 信息服务”点击确定,放入w...
scep服务器返回了无效的响应,CA 认证 SCEP
weixin_42498981的博客
08-12 439
你所遇到的无效响应,是这个吗?CAs that receive a certificate request referring to a template where the msPKI-RA-Signature is nonzero MUST require that the private keys used to sign the request are associated with ce...
有关NDES管理帐号及用户帐号权限
weixin_34007879的博客
06-04 346
IF your DC and CA use same server, when you use a domain user as NDES service accountand configure it, system will propomt "Logon failure: the user has not been granted the requested log...
http://localhost/certsrv 错误找不到页面解决方法
热门推荐
千方BLOG
10-01 1万+
http://localhost/certsrv
Windows Server 2008 R2详解:版本、功能与部署细节
Windows Server 2008 R2 是微软企业级操作系统的一个关键版本,它在2008年的基础上进行了多项增强和改进。该版本的发布旨在提供更高的性能、安全性以及对各种企业应用的支持。本文将详细介绍Windows Server 2008 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值