Network Device Enrollment Service (NDES) auf eine andere Zertifizierungsstelle umziehen

Folgendes Szenario angenommen:

  • Es ist eine NDES-Instanz im Netzwerk installiert.
  • Die an NDES ausstellende Zertifizierungsstelle soll geändert werden.

Die offizielle Aussage hierzu ist, dass NDES in diesem Fall neu installiert und konfiguriert werden muss. Dies ist jedoch nicht erforderlich. Nachfolgend sind die notwendigen Schritte beschrieben.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Ziel-Zertifizierungsstelle konfigurieren

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden.

Auf der Ziel-Zertifizierungsstelle muss die Konfigurationseinstellung "SubjectTemplate" um drei Werte erweitert werden, wenn diese zuvor nicht mit NDES benutzt wurde:

  • UnstructuredName
  • UnstructuredAddress
  • DeviceSerialNumber

Dies kann mit den folgenden Kommandozeilenbefehlen erfolgen.

certutil -setreg CA\SubjectTemplate +UnstructuredName
certutil -setreg CA\SubjectTemplate +UnstructuredAddress
certutil -setreg CA\SubjectTemplate +DeviceSerialNumber

Anschließend muss der Zertifizierungsstellen-Dienst neu gestartet werden.

NDES Konfiguration anpassen

Die Zertifizierungsstelle ist im Format {Servername}\{Common-Name-der-CA} unter dem Wert "Configuration" unterhalb des folgenden Registry-Schlüssels konfiguriert:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\CAInfo

Sofern sich nur der Servername geändert hat, kann nun mittels des iisreset Befehls die NDES-Konfiguration neu eingelesen werden.

Registration Authority (RA) Zertifikate erneuern

Handelt es sich um eine gänzlich andere Zertifizierungsstelle, wird NDES jedoch den Dienst verweigern, da die Registration Authority Zertifikate von der gleichen Zertifizierungsstelle kommen müssen.

In diesem Fall müssen neue Registration Authority Zertifikate von der neuen Zertifizierungsstelle beantragt werden. Die Einrichtung eigener RA-Zertifikate wird im Artikel "Eigene Registration Authority (RA) Zertifikatvorlagen für den Registrierungsdienst für Netzwerkgeräte (NDES) verwenden" beschrieben.

Wichtig ist hierbei auch, dass die Berechtigung auf die privaten Schlüssel für die Identität des SCEP Anwendungspools wieder gesetzt werden.

Bei der Beantragung der Zertifikate über die Microsoft Management Konsole (MMC) wird per Zufallsprinzip eine Zertifizierungsstelle ausgewählt. Dies bedeutet, dass die Zertifikate potentiell von der falschen Zertifizierungsstelle kommen könnten, wenn die Vorlagen auf mehreren Zertifizierungsstellen angeboten werden.

Anschließend kann mittels des iisreset Befehls die NDES-Konfiguration neu eingelesen werden.

NDES sollte nun wie gewünscht funktionieren.

Weiterführende Links:

de_DEDeutsch