Microsoft NDES auf einem Windows-Server installieren

Installieren Sie NDES auf einem Windows-Server, der in Ihrem Netzwerk verfügbar ist.

Sie können denselben Server für die Zertifikatsintegration mit Cloud Extender ®verwenden, aber NDES und die Zertifikatsintegration Cloud Extender auf einem anderen Server als Ihre Zertifizierungsstelle installieren. Sie können NDES über Microsoft Server Manager installieren. Cloud Extender muss nur mit NDES kommunizieren, um Gerätezertifikate zu erhalten. Wenn Sie NDES nicht auf Ihrem Windows-Server installiert haben, finden Sie Anweisungen zum Aktivieren von NDES auf dem Microsoft-Server im Microsoft-Artikel unter https://social.technet.microsoft.com/wiki/contents/articles/9063.active-directory-certificate-services-ad-cs-network-device-enrollment-service-ndes.aspx .

Erforderliche Berechtigungen zum Einrichten von Microsoft NDES

Die folgenden Berechtigungen sind zum Einrichten des Registrierungsdienstes für Netzwerkgeräte erforderlich:
Berechtigung Beschreibung
SCEP-Administrator Der Benutzer, der sich am Server anmeldet und den Registrierungsdienst für Netzwerkgeräte installiert. Dieser Benutzer muss die folgenden Voraussetzungen erfüllen:
  • Er muss Mitglied der lokalen Administratorgruppe sein.
  • Er muss Registrierungsberechtigungen in den folgenden Vorlagen haben:
    • Exchange-Registrierungs-Agent (Offlineanforderung)
    • CEP-Verschlüsselung
  • Er muss Berechtigungen zum Hinzufügen von Vorlagen zur ausgewählten Zertifizierungsstelle haben.
  • Er muss Mitglied der Unternehmensadministratorgruppe sein.
SCEP-Servicekonto Die Berechtigungsnachweise, die für die Ausführung des Registrierungsdienstes für Netzwerkgeräte verwendet werden. Dieses Konto muss die folgenden Berechtigungsnachweise haben:
  • Es muss Mitglied der lokalen Gruppe IIS_IUSRS sein.
  • Es muss Anforderungsberechtigung für die konfigurierte Zertifizierungsstelle haben.
  • Domänenbenutzerkonto mit Lese-und Registrierungsberechtigungen für die konfigurierten Vorlagen (weitere Informationen finden Sie im Abschnitt Zertifikatsvorlage auf dem SCEP-Server konfigurieren)
  • Es muss eine SPN-Definition in Active Directory haben.
Geräteadministrator Der Benutzer, der die Geräte verwaltet und ein Einmalkennwort vom Dienst anfordert, um die Sicherheitsregistrierung zu aktivieren.

Dieser Benutzer muss Registrierungsberechtigungen für die Zertifikatsvorlage haben, die der Registrierungsdienst für Netzwerkgeräte verwendet, um Zertifikate für die Zertifizierungsstelle anzufordern.

Bestätigen, dass SCEP auf dem Cloud Extender -Server funktioniert

Gehen Sie wie folgt vor, um festzustellen, ob SCEP auf dem Cloud Extender-Server funktioniert:
  1. Gehen Sie im Internet Explorer auf dem Cloud Extender-Server URL unter http://<ServerName>/certsrv/mscep_admin/.
  2. Geben Sie die Berechtigungsnachweise für den Geräteadministrator an.
Was als nächstes zu tun ist: Konfigurieren der Zertifikatsvorlage auf dem SCEP-Server