Après l'installation d'un service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) ou après des travaux de maintenance importants, il convient de procéder à un test fonctionnel approfondi afin de s'assurer que tous les composants fonctionnent comme prévu.
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .
Réalisation du test fonctionnel
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Un test de fonctionnement du service d'enregistrement des périphériques réseau (NDES) comprend les étapes suivantes :
- Assurer le démarrage du service d'enregistrement des périphériques réseau
- Vérification du journal des événements du service d'enregistrement des périphériques réseau.
- Accéder à la page de demande du service d'enregistrement des périphériques réseau
- Appel de la page d'administration du service d'enregistrement des périphériques réseau.
- Demander un certificat via NDES.
Détails : assurer le démarrage du service d'enregistrement des périphériques réseau
Étant donné que le service d'enregistrement des périphériques réseau est implémenté sous forme de module dans le service Internet Information Server (IIS), il n'est pas possible de contrôler le démarrage du service via le panneau de configuration des services (services.msc). À la place, un Événement n° 1 enregistré dans l'affichage des événements.
Cependant, celui-ci n'est généré que lors du premier appel par un demandeur. Il faut donc d'abord suivre l'étape „ Appeler la page de demande du service d'enregistrement des périphériques réseau “ décrite ci-dessous. Il est également possible d'effectuer l'appel à l'aide de la commande Windows PowerShell suivante :
[void](Invoke-WebRequest -Uri "http://localhost/certsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACaps")
Détails : vérification de l'affichage des événements du service d'enregistrement des périphériques réseau
Tout d'abord, il convient d'examiner l'observateur d'événements Windows sur le service d'enregistrement pour les serveurs de périphériques réseau afin de rechercher tous les événements pertinents pouvant indiquer une erreur. À cet effet, l'Observateur d'événements propose une vue prédéfinie sous „ Vues personnalisées “ – „ Rôles de serveur “ – „ Services de certificats Active Directory “, qui a déjà défini les filtres nécessaires pour l'Observateur d'événements.
Voir aussi à ce sujet l'article "Présentation des événements Windows générés par le service d'enregistrement des périphériques réseau (NDES)„ .
Si vous rencontrez des problèmes lors de cette étape, les articles suivants peuvent vous être utiles :
- Activer la journalisation de débogage pour le service d'enregistrement des périphériques réseau (NDES)
- Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur „ Le service d'enregistrement des périphériques réseau ne peut pas être démarré (0x80070002). Le système ne trouve pas le fichier spécifié. “
- Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur „ Le service d'enregistrement des périphériques réseau ne peut pas récupérer l'un des certificats requis (0x80070057). Le paramètre est incorrect. “
- Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur „ Le service d'enregistrement des périphériques réseau ne peut pas créer ou modifier la clé de registre Software\Microsoft\Cryptography\MSCEP\EncryptedPassword. “
Détails : Accès à la page de demande du service d'enregistrement des périphériques réseau
En accédant à la page de demande (mscep), il est possible de vérifier si le service démarre et est opérationnel. L'accès s'effectue via l'adresse suivante :
https://{Servername-oder-Alias}/certsrv/mscep
Détails : appel de la page d'administration du service d'enregistrement des périphériques réseau
En appelant la page d'administration (mscep), il est possible de vérifier si la connexion de l'utilisateur fonctionne et s'il reçoit un mot de passe à usage unique. Pour se connecter, il faut utiliser un compte disposant des autorisations „ Enroll “ sur le modèle de certificat configuré. L'appel s'effectue via l'adresse suivante :
https://{Servername-oder-Alias}/certsrv/mscep_admin
Si vous rencontrez des problèmes lors de cette étape, les articles suivants peuvent vous être utiles :
- Lorsque vous accédez au site Web d'administration du service d'inscription des périphériques réseau (NDES) (certsrv/mscep_admin), vous êtes invité à vous connecter à plusieurs reprises.
- Le site Web d'administration du service d'inscription des périphériques réseau (NDES) (certsrv/mscep_admin) affiche le message „ Vous ne disposez pas des autorisations suffisantes pour vous inscrire auprès du SCEP. Veuillez contacter votre administrateur système. “
- La page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin) signale "The password cache is full".
Détails : Demander un certificat via NDES
La demande de certificats via le service d'enregistrement s'effectue à l'aide du PSCertificateEnrollment Module PowerShell également disponible via Windows PowerShell. Voir à ce sujet l'article „Demande de certificat pour les systèmes Windows via le service d'enregistrement des périphériques réseau (NDES) avec Windows PowerShell„ .
Windows 10 comprend un client permettant de demander des certificats via le protocole SCEP, mais uniquement au niveau de la ligne de commande. Le script suivant peut être utilisé pour demander un certificat via NDES :
La demande via la ligne de commande ne prend pas en charge le protocole SSL (Secure Sockets Layer). Le serveur NDES doit donc être configuré pour accepter les connexions via HTTP. Les données de connexion peuvent être lues via le réseau, car la connexion non crypté est.
Sur GitHub, vous trouverez un code PowerShell et C# pour demander un certificat via NDES, qui prend également en charge SSL : Sleepw4lker / Test NDES
@echo off set SERVER= :: hier Servername oder Alias eintragen set DOMAIN= :: hier Domainname eintragen set USER= :: hier Benutzername eintragen set PASSWORD= :: hier Kennwort eintragen set INFFILE=ndes_request.inf set REQFILE=ndes_request.req set CRTFILE=ndes_certificate.cer set SUBJECT=TestNDESCert set MACHINEKEYSET=false set KEYLENGTH=2048 del /s /q %INFFILE% del /s /q %REQFILE% del /s /q %CRTFILE% echo [NewRequest] > %INFFILE% echo Subject = "CN=%SUBJECT%" >> %INFFILE% echo RequestType = SCEP >> %INFFILE% echo KeyLength = %KEYLENGTH% >> %INFFILE% echo MachineKeySet = %MACHINEKEYSET% >> %INFFILE% echo Getting OTP from %SERVER% and building request certreq -v -config %SERVER% -username %DOMAIN%\%USER% -p %PASSWORD% -new %INFFILE% %REQFILE% pause echo Sending Request to CA certreq -v -config %SERVER% -submit %REQFILE% %CRTFILE% pause echo Installing the Certificate certreq -accept %CRTFILE% pause
Le script exécute les étapes nécessaires :
- S'authentifier sur la page d'administration NDES (mscep_admin) et récupérer un mot de passe à usage unique (OTP).
- Création d'une paire de clés et d'une demande de certificat.
- Envoi de la demande de certificat à l'autorité de certification via NDES, en utilisant l'OTP demandé précédemment.
- Récupérer et installer le certificat émis.
Liens complémentaires :
- Configurer le Network Device Enrollment Service (NDES) pour l'utiliser avec un alias
- Installer le service d'enregistrement des périphériques réseau (NDES) sans les droits d'Enterprise Administrator
Sources externes
- Sleepw4lker / Test NDES (GitHub)
Français 
Deutsch 
English
Les commentaires sont fermés.