O Serviço de Registro do Dispositivo de Rede permite que software de roteadores e outros dispositivos de rede sejam executados sem credenciais de domínio para obter certificados com base em protocolo SCEP (Simple Certificate Enrollment Protocol).

Observação

O protocolo SCEP foi desenvolvido para oferecer suporte à emissão segura e escalável de certificados em dispositivos de rede usando as autoridades de certificação existentes. O protocolo oferece suporte à distribuição de chave pública de autoridade de registro e autoridade de certificação, registro de certificado, revogação de certificado, consultas de certificado e consultas de revogação de certificados.

O Serviço de Registro do Dispositivo de Rede realiza as seguintes funções:

  • Gera e fornece senhas de registro únicas aos administradores.

  • Envia solicitações de registro do protocolo SCEP à autoridade de certificação.

  • Recuperar certificados registrados da CA e os encaminha para o dispositivo de rede.

O registro em um certificado com o Serviço de Registro do Dispositivo de Rede envolve o software usado para gerenciar o dispositivo de rede, a autoridade de registro, o computador que hospeda o Serviço de Registro do Dispositivo de Rede e a CA.

Você deve ser uma autoridade de registro da autoridade de certificação e um administrador no dispositivo de rede para concluir este procedimento. Para obter mais informações, consulte Implementar a administração baseada em função.

Para solicitar e registrar-se em um certificado usando o Serviço de Registro do Dispositivo de Rede
  1. Execute o software usado para gerenciar o dispositivo de rede e use este software para gerar um par de chaves pública/particular de RSA configurado para:

    • Assinatura e verificação de assinatura

    • Criptografia e descriptografia

    • Assinatura, verificação de assinatura, criptografia e descriptografia

  2. Use o software do dispositivo para encaminhar este par de chaves à autoridade de registro do computador que hospeda o Serviço de Registro do Dispositivo de Rede.

  3. Abra o navegador da Internet e vá para http://localhost/certsrv/mscep_admin.

  4. Se a tabela de senhas não estiver completa, o Serviço de Registro do Dispositivo de Rede criará uma senha aleatória e a incorporará a uma página HTML que será retornada ao chamador.

    Observação

    Sempre que você se conectar a esta URL, uma verificação de senha diferente será exibida. Cada verificação de senha é válida por 60 minutos e só pode ser usada uma vez.

  5. Use o software do dispositivo, juntamente com a senha, para enviar uma solicitação de certificado pelo Serviço de Registro do Dispositivo de Rede, que transmite a solicitação à CA.

  6. Se a solicitação de registro for bem-sucedida, o certificado solicitado será retornado ao dispositivo da CA por meio do Serviço de Registro do Dispositivo de Rede.

Por padrão, um Serviço de Registro do Dispositivo de Rede só pode armazenar em cache cinco senhas por vez. Se o cache de senhas estiver completo quando você enviar uma solicitação de senha, faça o seguinte antes de reenviar a senha:

  • Aguarde até uma das senhas vencer e envie uma nova solicitação.

  • Interrompa e reinicie o IIS para excluir todas as senhas armazenadas no cache.

  • Configure o serviço para armazenar em cache mais de cinco senhas por vez.


Sumário