El Servicio de inscripción de dispositivos de red permite que el software de los enrutadores y otros dispositivos de red que se ejecutan sin credenciales de dominio obtengan certificados basados en el Protocolo de inscripción de certificados simple (SCEP).

Nota

SCEP se desarrolló para admitir la emisión de certificados seguros y escalables para dispositivos de red mediante el uso de entidades de certificación (CA) existentes. Este protocolo es compatible con las CA y la distribución de claves públicas de autoridades de registro, la inscripción de certificados, la revocación de certificados, las consultas de certificados y las consultas de revocación de certificados.

El Servicio de inscripción de dispositivos de red realiza las siguientes funciones:

  • Genera y proporciona contraseñas de inscripción de un solo uso a los administradores.

  • Envía solicitudes de inscripción de SCEP a la CA.

  • Recupera los certificados inscritos de la CA y los reenvía al dispositivo de red.

La inscripción de un certificado con el Servicio de inscripción de dispositivos de red implica el software usado para administrar el dispositivo de red, la autoridad de registro, el equipo que hospeda el Servicio de inscripción de dispositivos de red y la CA.

Debe ser una autoridad de registro para la CA y un administrador en el dispositivo de red para completar este procedimiento. Para obtener más información, vea Implementación de la administración basada en funciones.

Para solicitar e inscribir un certificado mediante el uso del Servicio de inscripción de dispositivos de red
  1. Ejecute el software usado para administrar el dispositivo de red y use este software para generar un par de claves pública/privada RSA configurado para una de las opciones siguientes:

    • Firma y comprobación de firma

    • Cifrado y descifrado

    • Firma, comprobación de firma, cifrado y descifrado

  2. Use el software del dispositivo para reenviar este par de claves a la autoridad de registro del equipo que hospeda el Servicio de inscripción de dispositivos de red.

  3. Abra un explorador web y vaya a http://localhost/certsrv/mscep_admin.

  4. Si la tabla de contraseñas no está completa, el Servicio de inscripción de dispositivos de red crea una contraseña aleatoria y la incrusta en una página HTML que se devuelve al autor de la llamada.

    Nota

    Cada vez que se conecte a esta dirección URL, se muestra una contraseña de comprobación distinta. Cada contraseña de comprobación es válida durante 60 minutos y solo se puede usar una vez.

  5. Use el software del dispositivo junto con la contraseña para enviar una solicitud de certificado mediante el Servicio de inscripción de dispositivos de red, basado en la solicitud para la CA.

  6. Si la solicitud de inscripción es correcta, el certificado solicitado se devuelve al dispositivo desde la CA mediante el Servicio de inscripción de dispositivos de red.

De forma predeterminada, el Servicio de inscripción de dispositivos de red solamente puede almacenar en caché cinco contraseñas cada vez. Si la memoria caché de contraseñas está llena al enviar una solicitud de contraseña, debe realizar una de las siguientes acciones antes de enviar la solicitud:

  • Espere hasta que una de las contraseñas haya expirado antes de enviar una solicitud nueva.

  • Detenga y reinicie Internet Information Services (IIS) para eliminar todas las contraseñas almacenadas en la memoria caché.

  • Configure el servicio para que almacene en la memoria caché más de cinco contraseñas.


Tabla de contenido