С помощью службы регистрации сетевых устройств программное обеспечение на маршрутизаторах и других сетевых устройствах, работающее без использования учетных данных домена, может получать сертификаты на основе протокола SCEP.

Примечание

Протокол SCEP был разработан для поддержки безопасной, масштабируемой выдачи сертификатов сетевым устройствам с использованием существующих центров сертификации. Этот протокол поддерживает передачу закрытых ключей центров сертификации и центров регистрации, отзыв сертификатов, запросы сертификатов и запросы отзыва сертификатов.

Служба регистрации сетевых устройств выполняет следующие функции:

  • Создание и предоставление одноразовых паролей регистрации для администраторов.

  • Отправка запросов по протоколу SCEP в центры сертификации.

  • Получение запрошенных сертификатов из центров сертификации и передача их сетевым устройствам.

При запросе сертификатов с помощью службы сертификации сетевых устройств задействуется программное обеспечение, которое используется для управления сетевыми устройствами, а также центр регистрации, компьютер, на котором размещена сама служба, и центр сертификации.

Чтобы выполнить эту процедуру, необходимо обладать правами центра регистрации в центре сертификации и правами администратора на сетевом устройстве. Дополнительные сведения см. в разделе Реализация ролевого администрирования.

Чтобы запросить и получить сертификат с помощью службы регистрации сетевых устройств

  1. Запустите программное обеспечение, предназначенное для управления сетевым устройством, и с его помощью создайте пару, состоящую из открытого и закрытого ключей RSA, настроенных для одной из указанных ниже целей:

    • подпись и проверка подписи;

    • шифрование и расшифровка;

    • подпись, проверка подписи, шифрование и расшифровка.

  2. Используйте программное обеспечение устройства для передачи этой пары ключей в центр регистрации на компьютере, где работает служба регистрации сетевых устройств.

  3. Откройте веб-браузер и перейдите на страницу http://localhost/certsrv/mscep_admin.

  4. Если таблица паролей не заполнена, служба регистрации сетевых устройств создаст случайный пароль и вставит его в HTML-страницу, возвращаемую стороне, подавшей заявку.

    Примечание

    Каждый раз при подключении к этому URL-адресу будет отображаться другой пароль вызова. Каждый пароль вызова действителен на протяжении 60 минут и может быть использован только один раз.

  5. Используйте программное обеспечение устройства наряду с паролем для отправки запроса на сертификат через службу регистрации сетевых устройств в центр сертификации.

  6. Если регистрация прошла успешно, запрошенный сертификат будет возвращен на устройство из центра сертификации посредством той же службы регистрации сетевых устройств.

По умолчанию эта служба может одновременно кэшировать пять паролей. Если кэш паролей заполнен при подаче заявки на пароль, необходимо выполнить одно из следующих действий, прежде чем повторно отправить запрос:

  • Дождитесь, пока не завершится срок действия одного из паролей, прежде чем повторно отправлять запрос.

  • Остановите и повторно запустите службы IIS, чтобы удалить все пароли, сохраненные в кэше.

  • Настройте службу для одновременного кэширования более пяти паролей.

Дополнительные источники информации

  • Управление отзывом сертификатов
  • Использование политики для управления службами сертификации Active Directory