Guide du service d’inscription de périphérique réseau

 

Date de publication : septembre 2016

S’applique à : Windows Server 2012 R2, Windows Server 2012

Le service d'inscription de périphérique réseau (NDES) permet aux logiciels des routeurs et autres périphériques réseau s'exécutant sans informations d'identification de domaine d'obtenir des certificats basés sur le protocole d'inscription du certificat simple (SCEP).

Note


Le protocole d'inscription du certificat simple a été développé pour prendre en charge l'émission sécurisée et évolutive de certificats sur les périphériques réseau à l'aide des autorités de certification existantes. Le protocole prend en charge la distribution de clé publique de l'autorité de certification et de l'autorité d'inscription, l'inscription de certificat, la révocation de certificat, les demandes de certificat et les demandes de révocation de certificat.

Le service d'inscription de périphérique réseau exécute les fonctions suivantes :

  1. génère et fournit aux administrateurs des mots de passe d'inscription à usage unique ;

  2. envoie les demandes d'inscription à l'autorité de certification ;

  3. extrait les certificats inscrits de l'autorité de certification et les transmet au périphérique réseau.

Paramètres de configuration du service NDES

Les sections suivantes décrivent les options de configuration que vous pouvez sélectionner après avoir installé les fichiers d'installation binaires du service d'inscription de périphérique réseau.

Configurer un compte de service pour NDES

NDES peut être configuré pour s'exécuter de l'une ou l'autre des façons suivantes :

  • un compte d'utilisateur spécifié comme compte de service ;

  • l'identité du pool d'applications intégré de l'ordinateur Internet Information Services (IIS).

Si vous sélectionnez l'identité du pool d'applications intégré, aucune autre configuration n'est requise. Cependant, la configuration recommandée doit spécifier un compte d'utilisateur, lequel nécessite une configuration supplémentaire. Le compte d'utilisateur qui est spécifié comme compte de service NDES doit satisfaire aux conditions suivantes :

  • être un compte d'utilisateur de domaine ;

  • être membre du groupe local IIS_IUSRS ;

  • avoir les autorisations Demande sur l'autorité de certification configurée ;

  • avoir les autorisations Lecture et Inscription sur le modèle de certificat NDES, qui est configuré automatiquement ;

  • avoir un nom principal de service (SPN) défini dans Active Directory.

Pour créer un compte d'utilisateur de domaine faisant office de compte de service NDES
  1. Connectez-vous au contrôleur de domaine ou à l'ordinateur d'administration sur lequel sont installés les outils d'administration de serveur distant AD DS. Ouvrez Utilisateurs et ordinateurs Active Directory en utilisant un compte qui a les autorisations requises pour ajouter des utilisateurs au domaine.

  2. Dans l'arborescence, développez la structure jusqu'à voir le conteneur où vous voulez créer le compte d'utilisateur. Par exemple, certaines organisations ont un compte d'unité d'organisation Services ou un compte similaire. Cliquez avec le bouton droit sur le conteneur, cliquez sur Nouveau, puis cliquez sur Utilisateur.

  3. Dans les zones de texte Nouvel objet - Utilisateur, entrez les noms appropriés de tous les champs de telle sorte qu'il soit clair que vous créez un compte d'utilisateur. Veillez à respecter la stratégie de votre entreprise en matière de création d'un compte de service, si une telle stratégie existe. À titre d'exemple, vous pouvez entrer les noms suivants, puis cliquer sur Suivant.

    1. Prénom : Ndes

    2. Nom : Service

    3. Nom d'ouverture de session de l'utilisateur : NdesService

  4. Assurez-vous de créer un mot de passe complexe pour le compte et confirmez le mot de passe. Configurez les options de mot de passe de façon à ce qu'elles correspondent aux stratégies de sécurité de votre organisation en matière de comptes de service. Si le mot de passe est configuré pour expirer, vous devez mettre en place un processus qui garantit que vous réinitialisez le mot de passe aux intervalles requis.

  5. Cliquez sur Suivant, puis sur Terminé.

Conseil

  • Vous pouvez également utiliser l’applet de commande New-ADUser Windows PowerShell® pour ajouter un compte d’utilisateur de domaine.
  • Selon votre configuration AD DS, vous pouvez implémenter un compte de service administré ou un compte de service administré de groupe pour NDES. Pour plus d’informations sur les comptes de service gérés, voir Comptes de service administrés. Pour plus d’informations sur les comptes de service administrés de groupe, voir Vue d’ensemble des comptes de service administrés de groupe.
Pour ajouter le compte de service NDES au groupe IIS_IUSERS local
  1. Sur le serveur qui héberge le service NDES, ouvrez Gestion de l'ordinateur (compmgmt.msc).

  2. Dans l'arborescence Gestion de l'ordinateur, sous Outils système, développez Utilisateurs et groupes locaux. Cliquez sur Groupes.

  3. Dans le volet d’informations, double-cliquez sur IIS_IUSRS.

  4. Sous l'onglet Général, cliquez sur Ajouter.

  5. Dans la zone de texte Sélectionner les utilisateurs, les ordinateurs, les comptes de service ou les groupes, entrez le nom de connexion de l'utilisateur correspondant au compte que vous avez configuré comme compte de service.

  6. Cliquez sur Vérifier les noms, cliquez deux fois sur OK, puis fermez Gestion de l'ordinateur.

Conseil


Vous pouvez également utiliser net localgroup IIS_IUSRS <domain>\<username> /Add pour ajouter le compte de service NDES au groupe IIS_IUSRS local. L’invite de commandes ou Windows PowerShell doit être exécutée en tant qu’Administrateur. Pour plus d’informations, voir Ajouter un membre à un groupe local.

Pour configurer le compte de service NDES avec l'autorisation Demande sur l'autorité de certification
  1. Sur l'autorité de certification utilisée par le service d'inscription de périphérique réseau, ouvrez la console Autorité de certification avec un compte ayant les autorisations Gérer l'autorité de certification.

  2. Ouvrez la console Autorité de certification. Cliquez avec le bouton droit sur l'autorité de certification, puis cliquez sur Propriétés.

  3. Sous l'onglet Sécurité, vous pouvez voir les comptes ayant les autorisations Demander des certificats. Par défaut, le groupe Utilisateurs authentifiés a cette autorisation. Le compte de service que vous avez créé sera membre d'Utilisateurs authentifiés quand il sera utilisé. Vous n'avez pas besoin d'attribuer des autorisations supplémentaires si le groupe Utilisateurs authentifiés possède l'autorisation Demander des certificats. Cependant, si tel n'est pas le cas, vous devez attribuer au compte de service NDES l'autorisation Demander des certificats sur l'autorité de certification. Pour ce faire :

    • Cliquez sur Ajouter.

    • Dans la zone de texte Sélectionner les utilisateurs, les ordinateurs, les comptes de service ou les groupes, entrez le nom du compte de service NDES, puis cliquez sur Vérifier les noms, puis sur OK.

    • Vérifiez que le compte de service NDES est sélectionné. Vérifiez que la case Autoriser correspondant à Demander des certificats est cochée. Cliquez sur OK.

Pour définir un nom principal de service pour le compte de service NDES
  1. Assurez-vous d'utiliser un compte membre du groupe Administrateurs du domaine. Ouvrez Windows PowerShell ou une invite de commandes en tant qu’administrateur.

  2. Utilisez la syntaxe de commande suivante pour inscrire le nom principal du serveur (SPN) du compte de service NDES : setspn -s http/<computername> <domainname>\<accountname>. Par exemple, pour inscrire un compte de service avec le nom de connexion NdesService dans le domaine cpandl.com qui s’exécute sur un ordinateur nommé CA1, vous exécutez la commande suivante : setspn -s http/CA1.cpandl.com cpandl\NdesService.

Sélectionner une autorité de certification pour le service NDES

Vous devez sélectionner une autorité de certification pour le service NDES à utiliser lors de l'émission de certificats pour les clients. Si le service d'inscription de périphérique réseau est installé sur une autorité de certification, il ne vous est pas possible de sélectionner une autorité de certification, car c'est l'autorité de certification locale qui est utilisée. Lorsque vous installez le service d'inscription de périphérique réseau sur un ordinateur qui n'est pas une autorité de certification, vous devez sélectionner l'autorité de certification cible. Vous pouvez sélectionner l'autorité de certification par son nom ou par le nom de l'ordinateur. Cliquez sur Nom de l'autorité de certification ou Nom de l'ordinateur, puis cliquez sur Sélectionner. L'option que vous choisissez détermine le type de boîte de dialogue qui s'affiche ensuite.

  • Si vous avez cliqué sur Nom de l'autorité de certification, la boîte de dialogue Sélectionner l'autorité de certification s'affiche et propose une liste d'autorités de certification au sein de laquelle vous pouvez effectuer un choix.

  • Si vous avez cliqué sur Nom de l'ordinateur, la boîte de dialogue Sélectionner un ordinateur s'affiche et vous pouvez définir les Emplacements et entrer le nom de l'ordinateur que vous voulez spécifier comme autorité de certification.

Définir les informations sur l'autorité d'inscription

Dans la page Informations sur l'autorité d'inscription, tous les champs obligatoires et facultatifs pour configurer le service comme autorité d'inscription sont collectés. Les informations fournies ici permettront de construire le certificat de signature émis pour le service.

Configurer le chiffrement pour NDES

Le service d'inscription de périphérique réseau utilise deux certificats et leurs clés pour permettre l'inscription de périphérique. Les organisations peuvent souhaiter utiliser différents fournisseurs de services de chiffrement pour stocker ces clés ; elles peuvent aussi désirer modifier la longueur des clés émises par le service. Seuls les fournisseurs de services CryptoAPI (Cryptographic Application Programming Interface) sont pris en charge pour les clés de l'autorité d'inscription – API Cryptography : les fournisseurs CNG (Cryptography Next Generation) ne sont pas pris en charge.

Terminer la configuration du service d'inscription de périphérique réseau

Vous pouvez en savoir plus sur la configuration et l’opération NDES dans l’article suivant Service d’inscription de périphérique réseau dans les services de certificats Active Directory (AD CS). sur Microsoft TechNet.

Si vous exigez une inscription OTA pour les appareils mobiles, voir Utilisation d’un module de stratégie avec le service d’inscription de périphérique réseau.

Note


Si vous apportez des modifications de configuration pour NDES ou aux modèles de certificats utilisés par NDES, vous devez arrêter et redémarrer NDES, IIS et le service d’autorité de l’autorité de certification.

Contenu associé