O Serviço de Inscrição de Dispositivos de Rede permite software em routers e outros dispositivos de rede em execução sem credenciais de domínio para obter certificados baseados no Protocolo Simples de Inscrição para Certificados (SCEP).

Nota

O SCEP foi desenvolvido para suportar a emissão segura e escalável de certificados para dispositivos de rede ao utilizar autoridades de certificação existentes (ACs). O protocolo suporta ACs e a distribuição de chaves públicas da autoridade de registo, inscrição de certificados, revogação de certificados, consultas de certificados e consultas de revogação de certificados.

O Serviço de Inscrição de Dispositivos de Rede executa as seguintes funções:

  • Gera e fornece palavras-passe de inscrição única aos administradores.

  • Submete pedidos de inscrição SCEP à AC.

  • Obtém certificados inscritos da AC e reencaminha-os para o dispositivo de rede.

A inscrição de um certificado com o Serviço de Inscrição de Dispositivos de Rede envolve o software utilizado para gerir o dispositivo de rede, a autoridade de registo, o computador que aloja o Serviço de Inscrição de Dispositivos de Rede e a AC.

Para concluir este procedimento terá de ser uma autoridade de registo da AC e um administrador no dispositivo de rede. Para mais informações, consulte Implementar Administração Baseada em Funções.

Para solicitar e inscrever um certificado utilizando o Serviço de Inscrição de Dispositivos de Rede
  1. Execute o software utilizado para gerir o dispositivo de rede e utilize este software para gerar um par de chaves públicas/privadas RSA configurado para um dos seguintes:

    • Assinatura e verificação de assinaturas

    • Encriptação e desencriptação

    • Assinatura, verificação de assinaturas, encriptação e desencriptação

  2. Utilize o software do dispositivo para reencaminhar este par de chaves para a autoridade de registo no computador que aloja o Serviço de Inscrição de Dispositivos de Rede.

  3. Abra um browser e aceda a http://localhost/certsrv/mscep_admin.

  4. Se a tabela de palavras-passe não for nula, o Serviço de Inscrição de Dispositivos de Rede criará uma palavra-passe aleatória e vai incorporá-la numa página HTML devolvida ao autor da chamada.

    Nota

    Sempre que ligar a este URL, uma palavra-passe de contestação diferente será apresentada. Cada palavra-passe de contestação é válida por 60 minutos e só pode ser utilizada uma vez.

  5. Utilize o software de dispositivo, juntamente com a palavra-passe, para submeter um pedido de certificado através do Serviço de Inscrição de Dispositivos de Rede, que reencaminha o pedido para a AC.

  6. Se o pedido de inscrição tiver êxito, o certificado solicitado é devolvido ao dispositivo a partir da AC e através do Serviço de Inscrição de Dispositivos de Rede.

Por predefinição, o Serviço de Inscrição de Dispositivos de Rede pode apenas ter em cache cinco palavras-passe de cada vez. Se a cache de palavras-passe estiver cheia quando submeter um pedido de palavra-passe, terá de fazer um dos seguintes procedimentos antes de submeter novamente o pedido:

  • Aguarde até uma das palavras-passe ter expirado antes de submeter um novo pedido.

  • Pare e reinicie os Serviços de Informação Internet (IIS) para eliminar todas as palavras-passe armazenadas na cache.

  • Configure o serviço mais colocar em cache mais de cinco palavras-passe de cada vez.


Sumário