ネットワーク デバイス登録サービスを使用すると、ドメイン資格情報を使用せずに実行しているルーターのソフトウェアおよびその他のネットワーク デバイスで、Simple Certificate Enrollment Protocol (SCEP) に基づいて証明書を取得できます。
注 | |
SCEP は、既存の証明機関 (CA) を使用して、ネットワーク デバイスに安全かつスケーラブルに証明書を発行することを目的に開発されました。このプロトコルは、CA および登録機関の公開キーの配布、証明書の登録、証明書の失効、証明書の照会、および証明書失効の照会をサポートします。 |
ネットワーク デバイス登録サービスは、次の機能を実行します。
-
1 回だけ有効な登録パスワードを生成して管理者に提供する。
-
SCEP 登録要求を CA に送信する。
-
登録された証明書を CA から取得し、ネットワーク デバイスに転送する。
ネットワーク デバイス登録サービスを使用して証明書を登録するには、ネットワーク デバイス、登録機関、ネットワーク デバイス登録サービスをホストするコンピューター、および CA の管理に使用するソフトウェアが必要です。
この手順を実行するには、CA の登録機関であり、またネットワーク デバイスの管理者であることが必要です。詳細については、「役割ベースの管理を実装する」を参照してください。
ネットワーク デバイス登録サービスを使用して証明書を要求および登録するには |
ネットワーク デバイスの管理に使用するソフトウェアを実行し、このソフトウェアを使用して、次のいずれかの操作用として構成された RSA の公開キーと秘密キーのペアを生成します。
-
署名および署名の確認
-
暗号化および暗号化解除
-
署名、署名の確認、暗号化、および暗号化解除
-
署名および署名の確認
デバイスのソフトウェアを使用して、ネットワーク デバイス登録サービスをホストしているコンピューターの登録機関にこのキーのペアを転送します。
Web ブラウザーを開き、http://localhost/certsrv/mscep_admin に移動します。
パスワード テーブルに空きがある場合、ネットワーク デバイス登録サービスによってランダムなパスワードが作成され、呼び出し元に返される HTML ページにそのパスワードが埋め込まれます。
注 この URL に接続するたびに、異なるチャレンジ パスワードが表示されます。それぞれのチャレンジ パスワードは 60 秒間有効で、1 回のみ使用できます。
このパスワードを指定してデバイスのソフトウェアを使用し、CA に要求をリレーするネットワーク デバイス登録サービスを介して証明書の要求を送信します。
登録の要求が正常に処理されると、ネットワーク デバイス登録サービスを介して CA から要求した証明書が返されます。
既定では、ネットワーク デバイス登録サービスで同時にキャッシュできるパスワードは 5 個までです。パスワードの要求を送信したときにパスワード キャッシュがいっぱいになっている場合は、要求を再送信する前に次のいずれかの操作を行う必要があります。
-
いずれかのパスワードの有効期限が切れるまで待機してから、新しい要求を送信する。
-
インターネット インフォメーション サービス (IIS) を停止して再起動し、キャッシュに格納されているすべてのパスワードを削除する。
-
6 個以上のパスワードを同時にキャッシュするようにサービスを構成する。