Dans la configuration standard, le Network Device Enrollment Service (NDES) n'accepte que les connexions non cryptées via HTTP. Il est conseillé de configurer au moins la page web d'administration de NDES pour HTTP via TLS (HTTPS) afin de rendre plus difficile l'enregistrement du trafic réseau. Vous trouverez ci-dessous des instructions à ce sujet.
Pour un examen plus approfondi de la nécessité d'utiliser SSL, voir l'article "Faut-il utiliser HTTPS pour le service d'enregistrement des périphériques réseau (NDES) ?„ .
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .
Demander un certificat SSL
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Tout d'abord, il faut demander un certificat de serveur web pour le serveur NDES.
- Dans l'article "Configurer un modèle de certificat Secure Socket Layer (SSL) pour serveur webLa section "Comment créer un modèle de certificat pour SSL" décrit comment créer un modèle de certificat pour SSL.
- Dans l'article "Génération d'une demande de certificat conforme à la RFC 2818 pour les certificats SSLL'article "Comment créer une demande de certificat conforme à la RFC2818 pour les certificats SSL" est décrit.
Lier le certificat SSL au serveur NDES
Après avoir demandé un certificat SSL pour le serveur NDES, celui-ci doit encore être lié au serveur web. Pour ce faire, le gestionnaire Internet Information Services (IIS) est appelé via les outils d'administration.
NDES est installé dans le site web par défaut du serveur web. En conséquence, les liaisons doivent être traitées ici.
S'il n'y a pas encore de lien SSL, il faut en créer un nouveau.
Le site web par défaut devrait répondre à toutes les demandes non définies ailleurs, c'est pourquoi le réglage par défaut concernant les adresses IP et les noms d'hôtes peut être conservé. Seul le certificat SSL doit être sélectionné.
Forcer l'utilisation de SSL
Le serveur web prend maintenant en charge les demandes via HTTPS, mais celles-ci ne sont pas forcées pour NDES, c'est-à-dire qu'il est toujours possible de soumettre des demandes via HTTP. Si l'on souhaite forcer le SSL spécifiquement pour NDES, il faut aller sur le site web par défaut et cliquer sur „View Applications“ sur le côté droit.
NDES se divise en deux applications :
- L'interface de demande de mot de passe à usage unique (mscep_admin)
- L'interface de demande de certificat (mscep)
Il est recommandé de forcer HTTPS au moins pour l'application mscep_admin afin d'empêcher l'enregistrement des données de connexion. L'application mscep peut également être configurée en option pour forcer HTTPS, mais ce n'est pas absolument nécessaire, car un cryptage a déjà lieu au niveau du protocole (voir l'article „Faut-il utiliser HTTPS pour le service d'enregistrement des périphériques réseau (NDES) ?„). La procédure est identique et n'est donc décrite qu'une seule fois pour l'application mscep_admin.
Après avoir double-cliqué sur l'application, on choisit les „SSL Settings“.
Ici, on active la case à cocher "Require SSL".
Ensuite, il faut encore cliquer sur "Apply" sur le côté droit.
Il est maintenant possible, si on le souhaite, de configurer la mscep selon le même modèle. On clique auparavant une fois sur un nœud en dehors du site web par défaut et ensuite à nouveau sur le site web par défaut pour obtenir à nouveau les applications à sélectionner.
NDES devrait maintenant refuser d'accepter des connexions via HTTP sans TLS.
Français 
Deutsch 
English
Les commentaires sont fermés.