Dans la configuration standard, le Network Device Enrollment Service (NDES) n'accepte que les connexions non cryptées via HTTP. Il est conseillé de configurer au moins la page web d'administration de NDES pour HTTP via TLS (HTTPS) afin de rendre plus difficile l'enregistrement du trafic réseau. Vous trouverez ci-dessous des instructions à ce sujet.
Pour un examen plus approfondi de la nécessité d'utiliser SSL, voir l'article "Faut-il utiliser HTTPS pour le service d'enregistrement des périphériques réseau (NDES) ?„ .
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .
Beantragen eines SSL-Zertifikats
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Zunächst muss für den NDES Server ein Web Server Zertifikat beantragt werden.
- Dans l'article "Configurer un modèle de certificat Secure Socket Layer (SSL) pour serveur webLa section "Comment créer un modèle de certificat pour SSL" décrit comment créer un modèle de certificat pour SSL.
- Dans l'article "Génération d'une demande de certificat conforme à la RFC 2818 pour les certificats SSLL'article "Comment créer une demande de certificat conforme à la RFC2818 pour les certificats SSL" est décrit.
Binden des SSL-Zertifikats auf den NDES-Server
Nachdem ein SSL-Zertifikat für den NDES-Server beantragt wurde, muss dieses nun noch auf den Web Server gebunden werden. Hierzu wird der Internet Information Services (IIS) Manager über die Verwaltungswerkzeuge aufgerufen.
NDES ist in der Default Web Site des Web Servers installiert. Entsprechend müssen hier die Bindungen bearbeitet werden.
S'il n'y a pas encore de lien SSL, il faut en créer un nouveau.
Le site web par défaut devrait répondre à toutes les demandes non définies ailleurs, c'est pourquoi le réglage par défaut concernant les adresses IP et les noms d'hôtes peut être conservé. Seul le certificat SSL doit être sélectionné.
Forcer l'utilisation de SSL
Nun unterstützt der Web Server Anfragen per HTTPS, für NDES werden diese jedoch nicht erzwungen, d.h. es können weiterhin Anfragen per HTTP eingereicht werden. Möchte man SSL spezifisch für NDES erzwingen, geht man hierzu auf die Default Web Site und klickt auf der rechten Seite „View Applications“ an.
NDES se divise en deux applications :
- Die Schnittstelle zur Beantragung der Einmalpasswörter (mscep_admin)
- Die Schnittstelle zur Beantragung der Zertifikate (mscep)
Es empfiehlt sich, mindestens für die mscep_admin Anwendung HTTPS zu erzwingen, um den Mitschnitt der Anmeldedaten zu verhindern. Die mscep-Anwendung kann optional auch konfiguriert werden, HTTPS zu erzwingen, dies ist aber nicht unbedingt notwendig, da bereits eine Verschlüsselung auf Protokollebene stattfindet (siehe Artikel „Sollte HTTPS für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden?„). Die Vorgehensweise ist identisch und wird daher nur einmal für die mscep_admin Anwendung beschrieben.
Nach Doppelklick auf die Anwendung wählt man die „SSL Settings“.
Ici, on active la case à cocher "Require SSL".
Ensuite, il faut encore cliquer sur "Apply" sur le côté droit.
Nun kann noch, falls gewünscht, die mscep nach identischem Muster konfiguriert werden. Man klickt vorher einmal auf einen Knoten außerhalb der Default Web Site und anschließend wieder auf die Default Web Site, um die Anwendungen wieder zur Auswahl zu erhalten.
NDES sollte nun die Annahme von Verbindungen über HTTP ohne TLS verweigern.
Français 
Deutsch 
English
Les commentaires sont fermés.