配置网络设备注册服务以使用域用户帐户

  • 项目

适用于:Windows Server(所有受支持的版本)

建议配置 NDES 以指定用户帐户,这需要额外的步骤。 如果选择内置应用程序池标识,则不需要其他配置。

本文介绍如何将网络设备注册服务 (NDES) 配置为作为指定的服务帐户运行。

NDES 允许路由器和其他网络设备在不使用域凭据的情况下基于简单证书注册协议 (SCEP) 获取证书。

开发 SCEP 的目的是支持使用现有证书颁发机构 (CA) 向网络设备颁发可扩展的安全证书。 该协议支持 CA 和注册机构公钥分发、注册和证书吊销查询。

有关 NDES 及其如何使用简单证书注册协议处理证书的详细信息,请参阅什么是 Active Directory 证书服务的网络设备注册服务?

先决条件

为 Active Directory 证书服务 (AD CS) 安装 NDES 角色服务后,请验证是否满足以下先决条件:

  • 是域用户帐户。

  • 是本地 IIS_IUSRS 组的成员。

  • 对配置的证书颁发机构 (CA) 具有请求权限。

  • 对自动配置的 NDES 证书模板具有读取和注册权限。

  • 如果使用 CNAME 或负载均衡网络名称,请在 Active Directory 域服务中配置服务主体名称 (SPN)。

创建充当 NDES 服务帐户的域用户帐户

接下来需要创建一个域用户帐户作为 NDES 服务帐户。

  1. 登录到域控制器或安装了 Active Directory 域服务远程服务器管理工具的管理计算机。 使用有权将用户添加到域的帐户打开“Active Directory 用户和计算机”

  2. 在控制台树中,展开相应的结构,直到看到你要在其中创建用户帐户的容器。 例如,某些组织具有“服务 OU”或类似的帐户。 右键单击容器,选择“新建”,然后选择“用户”。

  3. 在“新建对象 - 用户”文本框中,为所有字段输入相应的名称,以便明确表示你正在创建用户帐户。 请务必遵循你的组织用于创建服务帐户的策略(如果存在此类策略)。 例如,你可以输入以下内容,然后选择“下一步”。

    • 名字:Ndes

    • 姓氏:Service

    • 用户登录名:NdesService

  4. 确保为帐户设置一个复杂的密码,并确认该密码。 根据你的组织中与服务帐户相关的安全策略配置密码选项。 如果将密码配置为具有过期时间,你应该设置一个过程,以确保按所需的时间间隔重置密码。

  5. 选择“下一步”,然后选择“已完成”。

提示

  • 你还可以使用 New-ADUser Windows PowerShell 命令添加域用户帐户。

  • 根据你的 Active Directory 域服务 (AD DS) 配置,你可能能够实现 NDES 的托管服务帐户或组托管服务帐户。 有关托管服务帐户的详细信息,请参阅 托管服务帐户。 有关组托管服务帐户的详细信息,请参阅 组托管服务帐户概述

将 NDES 服务帐户添加到本地 IIS_IUSRS 组

成功创建域用户帐户作为 NDES 服务帐户后,必须将此 NDES 服务帐户添加到本地 IIS_IUSRS 组。

  1. 在托管 NDES 服务的服务器上,打开“计算机管理”(compmgmt.msc)。

  2. 在计算机管理控制台树中的“系统工具”下,展开“本地用户和组”。 选择“组”。

  3. 在详细信息窗格中,选择“IIS_IUSRS”。

  4. 在“常规”选项卡中,选择“添加”。

  5. 在“选择用户、计算机、服务帐户或组”文本框中,为你已配置为服务帐户的帐户键入用户登录名。

  6. 选择“检查名称”,选择“确定”两次,然后关闭“计算机管理”。

提示

你还可以使用 net localgroup IIS_IUSRS <domain>\<username> /Add 将 NDES 服务帐户添加到本地 IIS_IUSRS 组。 命令提示符或 Windows PowerShell 必须以管理员身份运行。 有关详细信息,请参阅Add-LocalGroupMember] PowerShell 命令。

设置对 CA 的请求权限

NDES 服务帐户需要请求对 NDES 要使用的 CA 的权限。

  1. 在 NDES 要使用的 CA 上,使用具有“管理 CA”权限的帐户打开 CA 控制台。

  2. 打开证书颁发机构控制台。 右键单击 CA,然后选择“属性”。

  3. 在“安全”选项卡上,你可以看到具有请求证书权限的帐户。 默认情况下,组“已验证用户”具有此权限。 你创建的服务帐户是“已验证用户”的成员(如果正在使用该帐户)。 如果“已验证用户”具有“请求证书”权限,则不需要授予更多权限。 但如果不是这样,则应授予 NDES 服务帐户对 CA 的“请求证书”权限。 为此,请执行以下操作:

    • 选择“添加” 。

    • 在“选择用户、计算机、服务帐户或组”文本框中,键入 NDES 服务帐户的名称,选择“检查名称”,然后选择“确定”。

    • 确保选中 NDES 服务帐户。 确保选中对应于“请求证书”的“允许”复选框。 选择“确定”。

验证是否需要为 NDES 设置服务主体名称

如果使用负载均衡器或虚拟名称,则需要在 Active Directory 中配置服务主体名称 (SPN)。 本部分介绍如何确定是否需要在 Active Directory 中设置 SPN。

  • 如果使用单个 NDES 服务器及其实际主机名(最常见的情况),则帐户不需要注册 SPN。 对于 HOST/computerFQDN,计算机帐户的默认 SPN 涵盖这种情况。 如果使用所有其他默认值(特别是围绕 IIS 内核模式身份验证),则可以跳到本文的下一部分。

  • 如果使用自定义 A 记录作为主机名,或使用虚拟 IP 进行负载均衡,则需要针对 NDES 服务帐户 (SCEPSvc) 注册 SPN。 若要针对 NDES 服务帐户注册 SPN,请执行以下操作:

    1. 输入命令时,使用 Setspn 命令语法:Setspn -s HTTP/<computerfqdn> <domainname\accountname>。 例如,你的域是 Fabrikam.com,你的 NDES CNAME 是 NDESFARM,而你使用的是名为 SCEPSvc 的服务帐户。 在此示例中,将运行以下命令。

      • Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvc
      • Setspn -s HTTP/NDESFARM fabrikam\SCEPSvc

    2. 然后禁用站点的 IIS 内核模式身份验证。

设置 NDES 角色服务

安装完成后,需要执行几个步骤来完成 NDES 计算机的配置。

如果 CA 上已安装 NDES,则你没有机会选择 CA,因为已使用本地 CA。

在不是 CA 的计算机上安装 NDES 时,必须选择目标 CA。 你可以使用 CA 名称或按计算机名称选择 CA。

若要选择 CA,请执行以下操作:

  1. 从服务器管理器打开 AD CS 配置。

  2. 选择“NDES 的 CA”

  3. 选择“CA 名称”或“计算机名称”,然后选择“选择”。

  4. 所选选项确定下一步显示的对话框类型:

    • 如果单击了“CA 名称”,将向你显示“选择证书颁发机构”对话框,该对话框具有你可从中进行选择的 CA 列表。

    • 如果单击了“计算机名称”,将看到“选择计算机”对话框,你可在该对话框中设置“位置”并输入你希望指定为 CA 的计算机名称。

现在可以完成 NDES 角色服务的设置。 其余步骤是验证注册机构信息和设置加密。

  1. 你提供的注册机构 (RA) 信息用于构造颁发给服务的签名证书。 在服务器管理器中。 选择 RA 信息。

  2. 检查所有字段并确认 RA 信息正确(或设置为默认值)。

NDES 使用两个证书及其密钥来启用设备注册。 各组织可以使用不同的加密服务提供程序 (CSP) 来存储这些密钥,或者更改此服务使用的密钥长度。 RA 密钥仅支持用于加密应用程序编程接口 (CryptoAPI) 服务提供程序(加密 API);下一代 (CNG) 提供程序不受支持。

  1. 若要配置加密,请在服务器管理器中选择“NDES 的加密”。

  2. 输入签名密钥提供程序和/或加密密钥提供程序的值,并确定密钥长度值。

  3. 继续执行向导以完成 NDES 的安装。

配置角色服务后,可以了解有关 NDES 配置和操作的详细信息,请参阅 Active Directory 证书服务 (AD CS) 中的网络设备注册服务 (NDES)

提示

如果对 NDES 或 NDES 所用的证书模板进行配置更改,则必须停止并重新启动 NDES、IIS 和 CA 服务。

后续步骤