Služba zápisu síťového zařízení umožňuje spuštění softwaru ve směrovačích a dalších síťových zařízeních bez pověření domén za účelem získání certifikátů založených na protokolu SCEP (Simple Certificate Enrollment Protocol).
Poznámka | |
Protokol SCEP byl vyvinut pro podporu zabezpečeného a škálovatelného vydávání certifikátů síťovým zařízením prostřednictvím existujících certifikačních autorit. Protokol podporuje certifikační autority a distribuci veřejného klíče registrační autority, zápis certifikátů, odvolání certifikátů, dotazy na certifikáty a dotazy na odvolané certifikáty. |
Služba zápisu síťového zařízení obsahuje následující funkce:
-
Generování a předání jednorázových hesel pro zápis správcům
-
Odeslání požadavků na zápis pomocí protokolu SCEP do certifikační autority
-
Načtení zapsaných certifikátů z certifikační autority a jejich předání síťovému zařízení
Při zápisu certifikátu pomocí Služby zápisu síťového zařízení se využívá software použitý ke správě síťového zařízení, registrační autorita, počítač hostující Službu zápisu síťového zařízení a certifikační autorita.
Tento proces může provést uživatel, který je registrační autoritou pro certifikační autoritu a správcem síťového zařízení. Další informace naleznete v tématu Implementace správy založené na rolích.
Zadání žádosti o zápis certifikátu pomocí Služby zápisu síťového zařízení |
Spusťte software použitý ke správě síťového zařízení a pomocí tohoto softwaru vygenerujte dvojici veřejného a privátního klíče RSA s jednou z následujících konfigurací:
-
Podpis a ověření podpisu
-
Šifrování a dešifrování
-
Podpis, ověření podpisu, šifrování a dešifrování
-
Podpis a ověření podpisu
Pomocí softwaru zařízení předejte tuto dvojici klíčů registrační autoritě v počítači hostujícím Službu zápisu síťového zařízení.
Otevřete webový prohlížeč a přejděte na adresu http://localhost/certsrv/mscep_admin.
Pokud není tabulka hesel zaplněna, vytvoří Služba zápisu síťového zařízení náhodné heslo a vloží jej na stránku HTML, která je vrácena volajícímu uživateli.
Poznámka Při každém připojení k této adrese URL je zobrazeno jiné heslo pro výzvu. Jednotlivá hesla pro výzvu platí po dobu 60 minut a je možné je použít pouze jednou.
Software zařízení je společně s heslem možné použít k odeslání žádosti o certifikát prostřednictvím Služby zápisu síťového zařízení, která žádost předá certifikační autoritě.
Pokud je požadavek na zápis úspěšný, je požadovaný certifikát vrácen z certifikační autority zařízení prostřednictvím Služby zápisu síťového zařízení.
Ve výchozím nastavení může mezipaměť Služby zápisu síťového zařízení obsahovat současně pět hesel. Pokud je mezipaměť hesel při odeslání požadavku na heslo plná, je nutné před novým odesláním požadavku provést některou z následujících akcí:
-
Před odesláním nového požadavku počkejte, dokud platnost některého z hesel nevyprší.
-
Ukončete a znovu spusťte Internetovou informační službu (IIS), tím odstraníte všechna hesla uložená v mezipaměti.
-
Nakonfigurujte službu tak, aby do mezipaměti ukládala více než pět hesel současně.