ネットワーク デバイス登録サービスを使用すると、ドメイン資格情報を使用せずに実行しているルーターのソフトウェアおよびその他のネットワーク デバイスで、Simple Certificate Enrollment Protocol (SCEP) に基づいて証明書を取得できます。

SCEP は、既存の証明機関 (CA) を使用して、ネットワーク デバイスに安全かつスケーラブルに証明書を発行することを目的に開発されました。このプロトコルは、CA および登録機関の公開キーの配布、証明書の登録、証明書の失効、証明書の照会、および証明書失効の照会をサポートします。

ネットワーク デバイス登録サービスは、次の機能を実行します。

  • 1 回だけ有効な登録パスワードを生成して管理者に提供する。

  • SCEP 登録要求を CA に送信する。

  • 登録された証明書を CA から取得し、ネットワーク デバイスに転送する。

ネットワーク デバイス登録サービスを使用して証明書を登録するには、ネットワーク デバイス、登録機関、ネットワーク デバイス登録サービスをホストするコンピューター、および CA の管理に使用するソフトウェアが必要です。

この手順を実行するには、CA の登録機関であり、またネットワーク デバイスの管理者であることが必要です。詳細については、「役割ベースの管理を実装する」を参照してください。

ネットワーク デバイス登録サービスを使用して証明書を要求および登録するには
  1. ネットワーク デバイスの管理に使用するソフトウェアを実行し、このソフトウェアを使用して、次のいずれかの操作用として構成された RSA の公開キーと秘密キーのペアを生成します。

    • 署名および署名の確認

    • 暗号化および暗号化解除

    • 署名、署名の確認、暗号化、および暗号化解除

  2. デバイスのソフトウェアを使用して、ネットワーク デバイス登録サービスをホストしているコンピューターの登録機関にこのキーのペアを転送します。

  3. Web ブラウザーを開き、http://localhost/certsrv/mscep_admin に移動します。

  4. パスワード テーブルに空きがある場合、ネットワーク デバイス登録サービスによってランダムなパスワードが作成され、呼び出し元に返される HTML ページにそのパスワードが埋め込まれます。

    この URL に接続するたびに、異なるチャレンジ パスワードが表示されます。それぞれのチャレンジ パスワードは 60 秒間有効で、1 回のみ使用できます。

  5. このパスワードを指定してデバイスのソフトウェアを使用し、CA に要求をリレーするネットワーク デバイス登録サービスを介して証明書の要求を送信します。

  6. 登録の要求が正常に処理されると、ネットワーク デバイス登録サービスを介して CA から要求した証明書が返されます。

既定では、ネットワーク デバイス登録サービスで同時にキャッシュできるパスワードは 5 個までです。パスワードの要求を送信したときにパスワード キャッシュがいっぱいになっている場合は、要求を再送信する前に次のいずれかの操作を行う必要があります。

  • いずれかのパスワードの有効期限が切れるまで待機してから、新しい要求を送信する。

  • インターネット インフォメーション サービス (IIS) を停止して再起動し、キャッシュに格納されているすべてのパスワードを削除する。

  • 6 個以上のパスワードを同時にキャッシュするようにサービスを構成する。


目次