网络设备注册服务允许路由器和不需要域凭据即可运行的其他网络设备上的软件根据简单证书注册协议 (SCEP) 获得证书。

注意

开发 SCEP 是为了支持通过使用现有的证书颁发机构 (CA) 向网络设备颁发安全、可缩放的证书。该协议支持 CA 和注册机构公钥分发、证书注册、证书吊销、证书查询和证书吊销查询。

网络设备注册服务执行以下功能:

  • 生成并向管理员提供一次性注册密码。

  • 向 CA 提交 SCEP 注册请求。

  • 从 CA 中检索已注册的证书并将其转发给网络设备。

使用网络设备注册服务注册证书涉及用来管理网络设备的软件、注册机构、网络设备注册服务所在的计算机和 CA。

您必须是 CA 的注册机构,并且必须是网络设备的管理员才能完成该步骤。有关详细信息,请参阅实现基于角色的管理

通过使用网络设备注册服务请求和注册证书的步骤
  1. 运行用来管理网络设备的软件,使用该软件生成 RSA 公钥/私钥对以配置如下操作之一:

    • 签名和签名验证

    • 加密和解密

    • 签名、签名验证、加密和解密

  2. 使用设备软件将此密钥对转发给网络设备注册服务所在的计算机上的注册机构。

  3. 打开 Web 浏览器,然后转到 http://localhost/certsrv/mscep_admin。

  4. 如果密码表未满,则网络设备注册服务将创建一个随机密码并将其嵌入到返回给呼叫方的 HTML 页面中。

    注意

    每次您连接到此 URL 时,都会显示不同的质询密码。每个质询密码的有效时间为 60 分钟,并且只能使用一次。

  5. 使用设备软件以及密码通过网络设备注册服务提交证书申请,这会延迟向 CA 的请求。

  6. 如果注册请求成功,则会通过网络设备注册服务将从 CA 中请求的证书返回给设备。

默认情况下,网络设备注册服务一次只能缓存五个密码。如果当您提交密码请求时密码缓存已满,则必须执行以下操作之一,然后才能重新提交请求:

  • 一直等到其中一个密码过期之后,才能提交新的请求。

  • 停止并重新启动 Internet 信息服务 (IIS) 以删除存储在缓存中的所有密码。

  • 将该服务配置为一次缓存五个以上的密码。


目录