Mit dem Registrierungsdienst für Netzwerkgeräte können Router und andere Netzwerkgeräte, die ohne Domänenanmeldeinformationen ausgeführt werden, auf SCEP (Simple Certificate Enrollment Protocol) basierende Zertifikate abrufen.

Hinweis

SCEP wurde entwickelt, um die sichere skalierbare Ausstellung von Zertifikaten für Netzwerkgeräte mithilfe von vorhandenen Zertifizierungsstellen (Certification Authorities, CAs) zu unterstützen. Das Protokoll unterstützt die Verteilung öffentlicher Schlüssel durch Zertifizierungsstellen und Registrierungsstellen, die Zertifikatregistrierung und Zertifikatsperrung, Zertifikatabfragen und Zertifikatsperrungsabfragen.

Der Registrierungsdienst für Netzwerkgeräte führt die folgenden Funktionen aus:

  • Er generiert einmalige Registrierungskennwörter für Administratoren.

  • Er sendet SCEP-Registrierungsanforderungen an die Zertifizierungsstelle.

  • Er ruft registrierte Zertifikate von der Zertifizierungsstelle ab und leitet diese an das Netzwerkgerät weiter.

Die Zertifikatregistrierung mit dem Registrierungsdienst für Netzwerkgeräte schließt die Software, mit der das Netzwerkgerät verwaltet wird, die Registrierungsstelle, den Computer mit dem Registrierungsdienst für Netzwerkgeräte und die Zertifizierungsstelle mit ein.

Sie müssen gegenüber der Zertifizierungsstelle über die Rechte einer Registrierungsstelle verfügen und als Administrator für das Netzwerkgerät angemeldet sein, um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.

So fordern Sie mithilfe des Registrierungsdiensts für Netzwerkgeräte ein Zertifikat an und registrieren sich dafür

  1. Starten Sie die Software, mit der das Netzwerkgerät verwaltet wird, und generieren Sie damit ein öffentlich-privates RSA-Schlüsselpaar, das für eine der folgenden Aktionen konfiguriert wurde:

    • Signieren und Signaturüberprüfung

    • Verschlüsselung und Entschlüsselung

    • Signieren, Signaturüberprüfung, Verschlüsselung und Entschlüsselung

  2. Verwenden Sie die Gerätesoftware, um das Schlüsselpaar an die Registrierungsstelle auf dem Computer mit dem Registrierungsdienst für Netzwerkgeräte weiterzuleiten.

  3. Öffnen Sie einen Webbrowser, und wechseln Sie zu http://localhost/certsrv/mscep_admin.

  4. Ist die Kennworttabelle leer, wird vom Registrierungsdienst für Netzwerkgeräte ein zufälliges Kennwort generiert und in eine HTML-Seite eingebettet, die an den Aufrufer zurückgegeben wird.

    Hinweis

    Jedes Mal, wenn Sie diese URL aufrufen, wird ein anderes Anfragekennwort angezeigt. Jedes Anfragekennwort ist 60 Minuten gültig und kann nur einmal verwendet werden.

  5. Verwenden Sie die Gerätesoftware zusammen mit dem Kennwort, um eine Zertifikatanforderung über den Registrierungsdienst für Netzwerkgeräte zu senden, der die Anforderung an die Zertifizierungsstelle weiterleitet.

  6. Ist die Registrierungsanforderung erfolgreich, wird das angeforderte Zertifikat von der Zertifizierungsstelle über den Registrierungsdienst für Netzwerkgeräte an das Gerät zurückgegeben.

Der Registrierungsdienst für Netzwerkgeräte kann standardmäßig nur jeweils fünf Kennwörter zwischenspeichern. Sollte der Kennwortcache voll sein, wenn Sie eine Kennwortanforderung senden, müssen Sie eine der folgenden Aktionen ausführen, bevor Sie Ihre Anforderung erneut senden:

  • Warten Sie, bis ein Kennwort ungültig wird, bevor Sie eine neue Anforderung senden.

  • Beenden Sie die Internetinformationsdienste (Internet Information Services, IIS), und starten Sie IIS neu, um alle zwischengespeicherten Kennwörter zu löschen.

  • Konfigurieren Sie den Dienst so, dass mehr als fünf Kennwörter gleichzeitig zwischengespeichert werden können.

Weitere Verweise

Inhaltsverzeichnis