Acest articol descrie procesul de configurare a serviciului NDES ca parte a infrastructurii PKI existente și pașii care trebuie întreprinși pentru a lansa un dispozitiv de rețea cu un certificat
Infrastructura IT pentru întreprinderea dvs.
Distribuirea certificatelor pentru sistemele de operare Windows, autoritatea de certificare a întreprinderii - este o procedură destul de simplă, care pot fi automatizate cu mecanisme de politică de grup Certificat Auto de înscriere, după configurația PKI. Cu toate acestea, eliberarea certificatelor de dispozitive care nu au conturi în AD, administratorii trebuie să creeze manual interogări Standarde cheie publică criptografiei (PKCS) și instala certificate pe dispozitiv. În organizațiile care au sute de dispozitive care nu sunt reprezentate în AD, acest lucru va dura mult timp.
Datorită complexității infrastructurii PKI și diferite condiții necesare în funcție de scenariu, trebuie să studieze cu atenție «Microsoft Raport privind punerea în aplicare a SCEP» (www.microsoft.com/downloads/details.aspx?familyid=E11780DE-819F-40D7-8B8E-10845BC8D446), mai întâi decât să planifice implementarea NDES. De asemenea, este demn de a testa într-un mediu de laborator înainte de a implementa serviciul într-un mediu de producție NDEs.
SCEP pe Windows Server
Serviciul NDE este conceput pentru companiile care au instalat deja infrastructura PKI și doresc să atribuie certificate pentru dispozitive de rețea, cum ar fi firewall-uri și routere pentru a spori securitatea, proteja traficul de rețea prin implementarea IPsec mijloace. De exemplu, pentru a construi IPsec VPN canal între routere sau între laptopuri și dispozitive incluse în perimetrul rețelei. Nu toate dispozitivele acceptă protocolul SCEP, deci merită să consultați producătorul de hardware în prealabil.
Considerații constructive
În cazul în care infrastructura companiei PKI constă în centrul de certificare autonom, ar trebui să fie parte dintr-o ierarhie de certificare izolată, servind numai pentru dispozitivele care acceptă protocolul SCEP. Alte dispozitive de rețea nu ar trebui să aibă încredere în autoritatea de certificare de bază. Dacă organizația dvs. utilizează echipamente Cisco si sisteme client care rulează Windows nu trebuie să aibă încredere în dispozitivele de rețea, puteți lua în considerare Cisco IOS server de autoritate de certificare - Centrul bazat pe dispozitive Cisco care rulează sistemul de operare Sistem de operare Internetwork certificare. În plus, unele dispozitive au un sprijin limitat pentru infrastructura anumite configurații PKI, inclusiv lungimea cheilor de criptare, autoritățile de certificare subordonate și ierarhia PKI mai multe niveluri.
Centrul de certificare: autonom sau corporativ?
Punerea în aplicare de serviciu NDEs coroborat cu o autoritate de certificare de sine stătătoare, a cărui sarcină este de a se asigura că certificatele de dispozitive de rețea, mai potrivite în situațiile în care clienții Windows nu trebuie să aibă încredere în dispozitivele de rețea (de exemplu, la stabilirea tipului de VPN-canal-router la router cu IPsec criptat) . Schimbul de server NDE și certificarea centru de întreprindere indicat în cazurile în care clienții Windows cu instalarea VPN-conexiuni necesită încredere pentru dispozitivele de rețea.
Configurarea NDES
Să instalăm rolul serverului NDES și să îl conectăm la autoritatea de certificare a întreprinderii. Aceasta este configurația standard în care certificatele emise pentru dispozitivele de rețea sunt de încredere pentru toți clienții Windows care intră în domeniu. Veți avea nevoie de o autoritate de certificare a întreprinderii care este inclusă în directorul AD și de o autoritate de certificare a root-ului configurată și dezactivată.
presetări
Adăugați intrarea NDES_Admin la grupul local de administratori de pe serverul NDES și în grupul Enterprise Admins din domeniul AD. Activați contul NDES_ServiceAccount din grupul local IIS_IUSRS de pe serverul NDES.
Certificatele duplicate
Ecranul 1. Caseta de dialog Activați șabloanele certificatelor
Articole similare
Trimiteți-le prietenilor: