Le service d'enregistrement des appareils en réseau (NDES) dispose de deux Autorité d'enregistrement Les certificats. Avec le certificat d'agent d'inscription, les demandes de certificat sont signées et on peut Configurer le modèle d'appareil NDES de manière à ce que les certificats ne soient délivrés que si les demandes de certificats soumises comportent une signature correspondante..
Si l'on prévoit de faire appel à l'autorité de certification associée au NDES supprimer de l'objet NTAuthCertificates, La question se pose de savoir s'il faut tenir compte de l'interdépendance - après tout, le fait d'avoir des enfants ne signifie pas qu'ils n'en ont pas besoin. Enroll on Behalf Of (EOBO) (inscription à l'appui) la présence du certificat d'autorité de certification dans NTAuthCertificates.
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .
NDES a-t-il une dépendance vis-à-vis de NTAuthCertificates ?
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
NDES peut être exploité sans que les autorités de certification concernées soient membres de NTAuthCertificates.
La seule exception est le mode de renouvellement, c'est-à-dire lorsqu'une demande de certificat doit être signée avec un certificat existant. Dans ce cas, l'autorité de certification qui a délivré les certificats à renouveler doit être membre de NTAuthCertificates. Si ce n'est pas le cas, le serveur NDES ne transmettra pas le certificat. Événement n° 28 enregistrer lorsqu'une demande de certificat est traitée en mode renouvellement et la rejeter.
Cependant, la plupart des implémentations côté client du protocole SCEP renoncent de toute façon à l'utilisation du mode de renouvellement, de sorte que cela ne devrait pas constituer une grande restriction. Le plus grand Porte d'entrée il reste la demande régulière de certificat avec ou sans mot de passe à usage unique, dont les effets peuvent par exemple être comparés à ceux de la demande de certificat avec mot de passe à usage unique. Module de politique TameMyCerts pour Microsoft Active Directory Certificate Services peuvent être réduites de manière drastique.
Est-ce que NDES utilise le mécanisme Enroll on Behalf Of (EOBO) ?
La réponse à cette question est clairement „non“ - la demande de certificat via NDES n'utilise pas d'Enroll on Behalf of. Il s'agit simplement d'une demande de certificat signée. En conséquence, elle fonctionne également si l'autorité de certification n'est pas membre de NTAuthCertificates.
Inversement, cela signifie également qu'il n'est pas possible de travailler avec des restrictions d'agents de demande (Restricted Enrollment Agents) dans NDES.
Si l'on souhaite doter son autorité de certification d'un ou de plusieurs Service d'enregistrement des périphériques réseau (NDES) et en parallèle avec Contraintes d'utilisation de clés étendues (Extended Key Usage Constraints) il faut s'assurer que le „Certificate Request Agent“ Extended Key Usage est inclus dans la liste des utilisations de clés étendues, car les certificats d'autorité d'enregistrement (RA) du NDES doivent toujours provenir de la même autorité de certification.
Liens complémentaires :
- Modifier l'objet NTAuthCertificates dans Active Directory
- Configurer un modèle de périphérique pour le service d'enregistrement des périphériques réseau (NDES)
- Principes de base : limiter l'utilisation de la clé étendue (Extended Key Usage, EKU) dans les certificats d'autorité de certification
- Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur "The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect".
Français 
Deutsch 
English
Les commentaires sont fermés.