Configurer le service d’inscription d’appareil réseau pour utiliser un compte d’utilisateur de domaine

S’applique à : Windows Server (toutes les versions prises en charge)

Nous vous recommandons de configurer NDES pour spécifier un compte d’utilisateur, ce qui nécessite des étapes supplémentaires. Si vous sélectionnez l’identité du pool d’applications intégré, aucune autre configuration n’est nécessaire.

Dans cet article, découvrez comment configurer le service d’inscription d’appareil réseau (NDES) pour qu’il s’exécute comme compte de service spécifié.

Le service NDES permet aux routeurs et autres appareils réseau d’obtenir des certificats basés sur le protocole d’inscription de certificats simple (SCEP) sans utiliser d’informations d’identification de domaine.

Le protocole d'inscription du certificat simple a été développé pour prendre en charge l'émission sécurisée et évolutive de certificats sur les périphériques réseau à l'aide des autorités de certification existantes. Le protocole prend en charge la distribution de clé publique de l’autorité de certification et de l’autorité d’inscription, et les requêtes d’inscription et de révocation de certificat.

Pour plus d’informations sur NDES et son fonctionnement avec les certificats basés sur le protocole d’inscription de certificats simple, consultez Qu’est-ce que le service d’inscription d’appareil réseau pour les services de certificats Active Directory ?.

Prérequis

Après avoir installé le service de rôle NDES pour les services de certificats Active Directory (AD CS), vérifiez que vous avez les prérequis suivants :

• Vous avez un compte d’utilisateur de domaine.

• Vous êtes membre du groupe local IIS_IUSRS.

• Vous avez des autorisations Demander sur l’autorité de certification configurée.

• Vous avez des autorisations Lire et Inscrire sur le modèle de certificat NDES, qui est configuré automatiquement.

• Si vous utilisez un nom CNAME ou un nom de réseau à charge équilibrée, configurez un Nom de principal du service (SPN) dans Active Directory Domain Services.

Créer un compte d’utilisateur de domaine faisant office de compte de service NDES

Vous devez créer un compte d’utilisateur de domaine comme compte de service NDES.

1. Connectez-vous au contrôleur de domaine ou à l'ordinateur d'administration sur lequel sont installés les outils d'administration de serveur distant AD DS. Ouvrez Utilisateurs et ordinateurs Active Directory en utilisant un compte qui a les autorisations requises pour ajouter des utilisateurs au domaine.

2. Dans l'arborescence, développez la structure jusqu'à voir le conteneur où vous voulez créer le compte d'utilisateur. Par exemple, certaines organisations ont un compte d'unité d'organisation Services ou un compte similaire. Cliquez avec le bouton droit sur le conteneur, sélectionnez Nouveau, puis Utilisateur.

3. Dans les zones de texte Nouvel objet - Utilisateur, entrez des noms appropriés dans tous les champs pour montrer clairement que vous créez un compte d’utilisateur. Veillez à respecter la stratégie de votre entreprise en matière de création d'un compte de service, si une telle stratégie existe. À titre d’exemple, vous pouvez entrer les noms suivants, puis sélectionnez Suivant.

   • Prénom: Ndes

   • Nom: Service

   • Nom d'ouverture de session de l'utilisateur: NdesService

4. Assurez-vous de créer un mot de passe complexe pour le compte et confirmez le mot de passe. Configurez les options de mot de passe de façon à ce qu'elles correspondent aux stratégies de sécurité de votre organisation en matière de comptes de service. Si le mot de passe est configuré pour expirer, vous devez mettre en place un processus qui garantit que vous réinitialisez le mot de passe aux intervalles requis.

5. Sélectionnez Suivant, puis Fini.

Conseil

• Vous pouvez également utiliser la commande Windows PowerShell New-ADUser pour ajouter un compte d’utilisateur de domaine.

• Selon votre configuration AD DS, vous pouvez implémenter un compte de service administré ou un compte de service administré de groupe pour NDES. Pour plus d’informations sur les comptes de service gérés, voir Comptes de service administrés. Pour plus d’informations sur les comptes de service administrés de groupe, voir Vue d’ensemble des comptes de service administrés de groupe.

Ajouter le compte de service NDES au groupe local IIS_IUSRS

Une fois le compte d’utilisateur de domaine créé comme compte de service NDES, vous devez l’ajouter au groupe local IIS_IUSRS.

1. Sur le serveur qui héberge le service NDES, ouvrez Gestion de l’ordinateur (compmgmt.msc).

2. Dans l'arborescence Gestion de l'ordinateur, sous Outils système, développez Utilisateurs et groupes locaux. Sélectionnez Groupes.

3. Dans le volet de détails, sélectionnez IIS_IUSRS.

4. Sous l’onglet Général, cliquez sur Ajouter.

5. Dans la zone de texte Sélectionner les utilisateurs, les ordinateurs, les comptes de service ou les groupes, entrez le nom de connexion de l'utilisateur correspondant au compte que vous avez configuré comme compte de service.

6. Sélectionnez Vérifier les noms, sélectionnez OK deux fois, puis fermez Gestion de l’ordinateur.

Conseil

Vous pouvez également utiliser net localgroup IIS_IUSRS <domain>\<username> /Add pour ajouter le compte de service NDES au groupe local IIS_IUSRS. L’invite de commandes ou Windows PowerShell doivent être exécutés comme administrateur. Pour plus d’informations, consultez la commande PowerShellAdd-LocalGroupMember].

Configurer l’autorisation Demander sur l’autorité de certification

Les comptes de service NDES doivent demander une autorisation sur l’autorité de certification qui doit être utilisée par NDES.

1. Sur l’autorité de certification utilisée par NDES, ouvrez la console Autorité de certification avec un compte qui a les autorisations Gérer l’autorité de certification.

2. Ouvrez la console Autorité de certification. Cliquez avec le bouton droit sur l’autorité de certification, puis sélectionnez Propriétés.

3. Sous l'onglet Sécurité, vous pouvez voir les comptes ayant les autorisations Demander des certificats. Par défaut, le groupe Utilisateurs authentifiés a cette autorisation. Le compte de service que vous avez créé est membre du groupe Utilisateurs authentifiés quand il est utilisé. Vous n’avez pas besoin d’accorder d’autres autorisations si le groupe Utilisateurs authentifiés a l’autorisation Demander des certificats. Toutefois, si ce n’est pas le cas, vous devez accorder au compte de service NDES l’autorisation Demander des certificats sur l’autorité de certification. Pour cela :

   • Sélectionnez Ajouter.

   • Dans la zone de texte Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes, tapez le nom du compte de service NDES et sélectionnez Vérifier les noms, puis OK.

   • Vérifiez que le compte de service NDES est sélectionné. Vérifiez que la case Autoriser correspondant à Demander des certificats est cochée. Sélectionnez OK.

Vérifier s’il faut définir un nom de principal de service pour NDES

Vous devez configurer un nom de principal de service (SPN) dans Active Directory si vous utilisez un équilibreur de charge ou un nom virtuel. Dans cette section, découvrez comment déterminer s’il faut définir un SPN dans Active Directory.

• Si vous utilisez un seul serveur NDES et son nom d’hôte réel (scénario le plus courant), le compte n’a pas besoin d’un SPN inscrit. Les SPN par défaut des comptes d’ordinateur pour HOST/computerFQDN couvrent ce cas. Si vous utilisez toutes les autres valeurs par défaut (en particulier en ce qui concerne l’authentification en mode de noyau IIS), vous pouvez passer à la section suivante de cet article.

• Si vous utilisez un enregistrement A personnalisé comme nom d’hôte ou que vous effectuez un équilibrage de charge avec une IP virtuelle, vous devez inscrire un SPN pour le compte de service NDES (SCEPSvc). Pour inscrire un SPN pour le compte de service NDES :

  1. Utilisez la syntaxe de commande Setspn : Setspn -s HTTP/<computerfqdn> <domainname\accountname> quand vous entrez vos commandes. Par exemple, votre domaine est Fabrikam.com, votre nom CNAME NDES est NDESFARM, et vous utilisez un compte de service nommé SCEPSvc. Dans l’exemple, vous exécuteriez les commandes suivantes.

     • Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvc
     • Setspn -s HTTP/NDESFARM fabrikam\SCEPSvc

  2. Désactivez ensuite l’authentification en mode de noyau IIS pour le site.

Configurer le service de rôle NDES

Une fois l’installation terminée, vous devez effectuer quelques étapes pour terminer la configuration de l’ordinateur NDES.

Si NDES est installé sur une autorité de certification, vous ne pouvez pas sélectionner d’autorité de certification, car l’autorité de certification locale est utilisée.

Quand vous installez NDES sur un ordinateur qui n’est pas une autorité de certification, vous devez sélectionner l’autorité de certification cible. Vous pouvez sélectionner l’autorité de certification en utilisant son nom ou le nom de l’ordinateur.

Pour sélectionner l’autorité de certification :

1. Ouvrez Configuration AD CS à partir du Gestionnaire de serveur.

2. Sélectionnez Autorité de certification pour NDES

3. Sélectionnez Nom de l’autorité de certification ou Nom de l’ordinateur, puis cliquez sur Sélectionner.

4. L’option que vous choisissez détermine le type de boîte de dialogue qui s’affiche ensuite :

   • Si vous avez cliqué sur Nom de l’autorité de certification, la boîte de dialogue Sélectionner l’autorité de certification s’affiche en vous présentant une liste d’autorités de certification.

     ou

   • Si vous avez cliqué sur Nom de l'ordinateur, la boîte de dialogue Sélectionner un ordinateur s'affiche et vous pouvez définir les Emplacements et entrer le nom de l'ordinateur que vous voulez spécifier comme autorité de certification.

Vous êtes maintenant prêt à terminer la configuration du service de rôle NDES. Les étapes restantes sont la vérification des informations de l’autorité d’inscription et la configuration du chiffrement.

1. Les informations de l’autorité d’inscription que vous fournissez sont utilisées pour construire le certificat de signature émis pour le service. Dans le Gestionnaire de serveur, sélectionnez les informations de l’autorité d’inscription.

2. Consultez tous les champs et vérifiez que les informations de l’autorité d’inscription sont correctes (ou sont définies sur les valeurs par défaut).

NDES utilise deux certificats et leurs clés pour activer l’inscription d’appareil. Les organisations peuvent utiliser différents fournisseurs de services de chiffrement pour stocker ces clés ou peuvent changer la longueur des clés utilisées par le service. Seuls les fournisseurs de services CryptoAPI (Cryptographic Application Programming Interface) sont pris en charge pour les clés d’autorité d’inscription : API de chiffrement. Les fournisseurs CNG (Cryptography Next Generation) ne sont pas pris en charge.

1. Pour configurer le chiffrement, dans le Gestionnaire de serveur, sélectionnez Chiffrement pour NDES.

2. Entrez les valeurs du fournisseur de clés de signature et/ou du fournisseur de clés de chiffrement, puis choisissez les valeurs de longueur de clé.

3. Continuez l’Assistant pour terminer l’installation de NDES.

Maintenant que vous avez configuré le service de rôle, vous pouvez obtenir des informations détaillées sur la configuration et le fonctionnement de NDES en consultant Service d’inscription d’appareil réseau (NDES) dans les services de certificats Active Directory (AD CS).

Conseil

Si vous apportez des modifications de configuration pour NDES ou aux modèles de certificats utilisés par NDES, vous devez arrêter et redémarrer NDES, IIS et le service d’autorité de l’autorité de certification.

Étapes suivantes

• Utilisation d’un module de stratégie avec le service d’inscription de périphérique réseau

• Forum Aux Questions (FAQ) sur l’infrastructure à clé publique (PKI) des services de certificats Active Directory (AD CS)