Met de registratieservice voor netwerkapparaten kan software op routers en andere netwerkapparaten die zonder domeinreferenties wordt uitgevoerd, certificaten krijgen op basis van het Simple Certificate Enrollment Protocol (SCEP).
 | Opmerking |
|
SCEP werd ontwikkeld voor de beveiligde en schaalbare verlening van certificaten aan netwerkapparaten via bestaande certificeringsinstanties (CA's). Het protocol ondersteunt distributie van openbare sleutels met CA's en registratieautoriteiten, inschrijving op certificaten, intrekking van certificaten, query's over certificaten en query's over ingetrokken certificaten. |
Door de registratieservice voor netwerkapparaten worden de volgende functies uitgevoerd:
-
Eenmalige inschrijvingswachtwoorden genereren voor beheerders
-
SCEP-inschrijvingsaanvragen verzenden naar de CA
-
Ingeschreven certificaten ophalen van de CA en doorsturen naar het netwerkapparaat
Bij de inschrijving op een certificaat met de registratieservice voor netwerkapparaten spelen zowel de software waarmee het netwerkapparaat wordt beheerd, de registratieautoriteit, de hostcomputer van de registratieservice voor netwerkapparaten als de CA een rol.
U moet een registratieautoriteit voor de CA en een beheerder voor het netwerkapparaat zijn om deze procedure te kunnen uitvoeren. Zie Op rollen gebaseerd beheer implementeren voor meer informatie.
 | Een certificaat aanvragen en hierop inschrijven met de registratieservice voor netwerkapparaten |
Voer de software uit die wordt gebruikt om het netwerkapparaat te beheren en gebruik deze software om een RSA-combinatie van een openbare en een persoonlijke sleutel te genereren die is geconfigureerd voor een van de volgende doeleinden:
-
Ondertekening en controle van handtekening
-
Versleuteling en ontsleuteling
-
Ondertekening, controle van handtekening, versleuteling en ontsleuteling
-
Ondertekening en controle van handtekening
Gebruik de software van het apparaat om dit sleutelpaar door te sturen naar de registratieautoriteit op de computer die als host fungeert voor de registratieservice voor netwerkapparaten.
Open een webbrowser en ga naar http://localhost/certsrv/mscep_admin.
Als de wachtwoordtabel niet vol is, wordt door de registratieservice voor netwerkapparaten een willekeurig wachtwoord gegenereerd. Dit wordt ingesloten in een HTML-pagina, die wordt geretourneerd naar de aanroeper.
Opmerking Elke keer als u verbinding maakt met deze URL, wordt een ander controlewachtwoord weergegeven. Elk controlewachtwoord is 60 minuten geldig en kan slechts een keer worden gebruikt.
Gebruik de software van het apparaat, in combinatie met het wachtwoord, om een certificaataanvraag in te dienen bij de registratieservice voor netwerkapparaten, die de aanvraag doorstuurt naar de CA.
Als de inschrijvingsaanvraag slaagt, wordt het aangevraagde certificaat via de registratieservice voor netwerkapparaten naar het apparaat geretourneerd door de CA.
Door de registratieservice voor netwerkapparaten kunnen standaard slechts vijf wachtwoorden tegelijk in de cache worden opgeslagen. Als de cache voor de wachtwoorden vol is wanneer u een wachtwoord aanvraagt, kunt u een van de volgende stappen uitvoeren voordat u de aanvraag opnieuw indient:
-
Wacht totdat een van de wachtwoorden is verlopen voordat u een nieuwe aanvraag indient.
-
Stop Internet Information Services (IIS) en start de service opnieuw om alle wachtwoorden te verwijderen die in de cache zijn opgeslagen.
-
Pas de configuratie van de service aan zodat er meer dan vijf wachtwoorden tegelijk kunnen worden opgeslagen in de cache.