O Serviço de Inscrição de Dispositivos de Rede permite software em routers e outros dispositivos de rede em execução sem credenciais de domínio para obter certificados baseados no Protocolo Simples de Inscrição para Certificados (SCEP).
Nota | |
O SCEP foi desenvolvido para suportar a emissão segura e escalável de certificados para dispositivos de rede ao utilizar autoridades de certificação existentes (ACs). O protocolo suporta ACs e a distribuição de chaves públicas da autoridade de registo, inscrição de certificados, revogação de certificados, consultas de certificados e consultas de revogação de certificados. |
O Serviço de Inscrição de Dispositivos de Rede executa as seguintes funções:
-
Gera e fornece palavras-passe de inscrição única aos administradores.
-
Submete pedidos de inscrição SCEP à AC.
-
Obtém certificados inscritos da AC e reencaminha-os para o dispositivo de rede.
A inscrição de um certificado com o Serviço de Inscrição de Dispositivos de Rede envolve o software utilizado para gerir o dispositivo de rede, a autoridade de registo, o computador que aloja o Serviço de Inscrição de Dispositivos de Rede e a AC.
Para concluir este procedimento terá de ser uma autoridade de registo da AC e um administrador no dispositivo de rede. Para mais informações, consulte Implementar Administração Baseada em Funções.
Para solicitar e inscrever um certificado utilizando o Serviço de Inscrição de Dispositivos de Rede |
Execute o software utilizado para gerir o dispositivo de rede e utilize este software para gerar um par de chaves públicas/privadas RSA configurado para um dos seguintes:
-
Assinatura e verificação de assinaturas
-
Encriptação e desencriptação
-
Assinatura, verificação de assinaturas, encriptação e desencriptação
-
Assinatura e verificação de assinaturas
Utilize o software do dispositivo para reencaminhar este par de chaves para a autoridade de registo no computador que aloja o Serviço de Inscrição de Dispositivos de Rede.
Abra um browser e aceda a http://localhost/certsrv/mscep_admin.
Se a tabela de palavras-passe não for nula, o Serviço de Inscrição de Dispositivos de Rede criará uma palavra-passe aleatória e vai incorporá-la numa página HTML devolvida ao autor da chamada.
Nota Sempre que ligar a este URL, uma palavra-passe de contestação diferente será apresentada. Cada palavra-passe de contestação é válida por 60 minutos e só pode ser utilizada uma vez.
Utilize o software de dispositivo, juntamente com a palavra-passe, para submeter um pedido de certificado através do Serviço de Inscrição de Dispositivos de Rede, que reencaminha o pedido para a AC.
Se o pedido de inscrição tiver êxito, o certificado solicitado é devolvido ao dispositivo a partir da AC e através do Serviço de Inscrição de Dispositivos de Rede.
Por predefinição, o Serviço de Inscrição de Dispositivos de Rede pode apenas ter em cache cinco palavras-passe de cada vez. Se a cache de palavras-passe estiver cheia quando submeter um pedido de palavra-passe, terá de fazer um dos seguintes procedimentos antes de submeter novamente o pedido:
-
Aguarde até uma das palavras-passe ter expirado antes de submeter um novo pedido.
-
Pare e reinicie os Serviços de Informação Internet (IIS) para eliminar todas as palavras-passe armazenadas na cache.
-
Configure o serviço mais colocar em cache mais de cinco palavras-passe de cada vez.