Transférer le Network Device Enrollment Service (NDES) vers une autre autorité de certification

Supposons le scénario suivant :

• Une instance NDES est installée sur le réseau.
• L'autorité de certification délivrant des NDES doit être modifiée.

La déclaration officielle à ce sujet est que, dans ce cas, NDES doit être réinstallé et configuré. Cela n'est toutefois pas nécessaire. Les étapes nécessaires sont décrites ci-dessous.

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .

Configurer l'autorité de certification cible

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Sur l'autorité de certification cible, le paramètre de configuration „ SubjectTemplate “ doit être étendu à trois valeurs s'il n'a pas été utilisé auparavant avec NDES :

• UnstructuredName
• UnstructuredAddress
• DeviceSerialNumber

Cela peut se faire à l'aide des commandes de ligne de commande suivantes.

certutil -setreg CA\SubjectTemplate +UnstructuredName
certutil -setreg CA\SubjectTemplate +UnstructuredAddress
certutil -setreg CA\SubjectTemplate +DeviceSerialNumber 

Il faut ensuite redémarrer le service d'autorité de certification.

Personnaliser la configuration NDES

L'autorité de certification est configurée au format {nom du serveur}\{nom commun CA} sous la valeur „ Configuration “ dans la clé de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\CAInfo

Si seul le nom du serveur a changé, la configuration NDES peut être relue à l'aide de la commande iisreset.

Renouveler les certificats de l'autorité d'enregistrement (RA)

S'il s'agit d'une autorité de certification totalement différente, NDES refusera toutefois le service, car les certificats de l'autorité d'enregistrement doivent provenir de la même autorité de certification.

Dans ce cas, de nouveaux certificats d'autorité d'enregistrement doivent être demandés auprès de la nouvelle autorité de certification. La configuration de vos propres certificats RA est décrite dans l'article „Utiliser ses propres modèles de certificats d'autorité d'enregistrement (RA) pour le service d'enregistrement des périphériques réseau (NDES)" décrit.

Il est également important que l'autorisation soit réinitialisée sur les clés privées pour l'identité du pool d'applications SCEP.

Lors de la demande de certificats via la console de gestion Microsoft (MMC), une autorité de certification est sélectionnée de manière aléatoire. Cela signifie que les certificats pourraient potentiellement provenir d'une autorité de certification erronée si les modèles sont proposés par plusieurs autorités de certification.

La configuration NDES peut ensuite être relue à l'aide de la commande iisreset.

NDES devrait désormais fonctionner comme prévu.

Liens complémentaires :

• Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur "The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect".
• Utiliser ses propres modèles de certificats d'autorité d'enregistrement (RA) pour le service d'enregistrement des périphériques réseau (NDES)