Network Device Enrollment Service (NDES) auf eine andere Zertifizierungsstelle umziehen

Supposons le scénario suivant :

Une instance NDES est installée sur le réseau.
L'autorité de certification délivrant des NDES doit être modifiée.

La déclaration officielle à ce sujet est que, dans ce cas, NDES doit être réinstallé et configuré. Cela n'est toutefois pas nécessaire. Les étapes nécessaires sont décrites ci-dessous.

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .

Configurer l'autorité de certification cible

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Auf der Ziel-Zertifizierungsstelle muss die Konfigurationseinstellung „SubjectTemplate“ um drei Werte erweitert werden, wenn diese zuvor nicht mit NDES benutzt wurde:

UnstructuredName
UnstructuredAddress
DeviceSerialNumber

Cela peut se faire à l'aide des commandes de ligne de commande suivantes.

certutil -setreg CA\SubjectTemplate +UnstructuredName
certutil -setreg CA\SubjectTemplate +UnstructuredAddress
certutil -setreg CA\SubjectTemplate +DeviceSerialNumber

Il faut ensuite redémarrer le service d'autorité de certification.

NDES Konfiguration anpassen

Die Zertifizierungsstelle ist im Format {Servername}\{CA-Common-Name} unter dem Wert „Configuration“ unterhalb des folgenden Registry-Schlüssels konfiguriert:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\CAInfo

Sofern sich nur der Servername geändert hat, kann nun mittels des iisreset Befehls die NDES-Konfiguration neu eingelesen werden.

Registration Authority (RA) Zertifikate erneuern

Handelt es sich um eine gänzlich andere Zertifizierungsstelle, wird NDES jedoch den Dienst verweigern, da die Registration Authority Zertifikate von der gleichen Zertifizierungsstelle kommen müssen.

In diesem Fall müssen neue Registration Authority Zertifikate von der neuen Zertifizierungsstelle beantragt werden. Die Einrichtung eigener RA-Zertifikate wird im Artikel „Utiliser ses propres modèles de certificats d'autorité d'enregistrement (RA) pour le service d'enregistrement des périphériques réseau (NDES)" décrit.

Wichtig ist hierbei auch, dass die Berechtigung auf die privaten Schlüssel für die Identität des SCEP Anwendungspools wieder gesetzt werden.

Bei der Beantragung der Zertifikate über die Microsoft Management Konsole (MMC) wird per Zufallsprinzip eine Zertifizierungsstelle ausgewählt. Dies bedeutet, dass die Zertifikate potentiell von der falschen Zertifizierungsstelle kommen könnten, wenn die Vorlagen auf mehreren Zertifizierungsstellen angeboten werden.

Anschließend kann mittels des iisreset Befehls die NDES-Konfiguration neu eingelesen werden.

NDES sollte nun wie gewünscht funktionieren.

Transférer le Network Device Enrollment Service (NDES) vers une autre autorité de certification

Configurer l'autorité de certification cible

NDES Konfiguration anpassen

Registration Authority (RA) Zertifikate erneuern

Liens complémentaires :