Supposons que l'on exploite un service d'enregistrement de périphériques réseau (Network Device Enrollment Service, NDES) qui s'appuie sur le principe de l'enregistrement des périphériques réseau. est configuré pour utiliser un mot de passe statique. Dans ce cas, contrairement à la configuration standard, le mot de passe de la Demande de certificat par les clients NDES jamais.
Mais il se peut que vous souhaitiez une solution intermédiaire, par exemple un changement quotidien du mot de passe. Ci-dessous, nous décrivons un moyen d'automatiser le changement de mot de passe.
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .
Pour obtenir un changement de mot de passe, le mot de passe actuel doit être supprimé de l'enregistrement. Il se trouve dans le chemin suivant :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\EncryptedPassword\EncryptedPassword
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Ensuite, il faut redémarrer le pool d'applications SCEP pour qu'un nouveau mot de passe soit généré.
Veuillez noter qu'à partir de la modification, toutes les demandes de certificat utilisant le mot de passe précédent ne seront plus acceptées.
Les trois commandes PowerShell suivantes permettent d'automatiser le processus. Un appel direct au serveur NDES est également effectué, de sorte qu'un nouveau mot de passe est directement généré.
Remove-ItemProperty ` -Path HKLM:\SOFTWARE\Microsoft\Cryptography\MSCEP\EncryptedPassword ` -Name EncryptedPassword Restart-WebAppPool -Name SCEP Start-Sleep -Seconds 15 [void](Invoke-WebRequest -Uri "http://localhost/certsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACaps")
Français 
Deutsch 
English
Les commentaires sont fermés.