Windows als SCEP-Server

Ab Windows Server 2012 ist NDES (Network Device Enrollment Service) in die Zertifizierungsstelle (CA) eingebaut.
Die beschriebene Vorgehensweise ist als Beispiel zu verstehen und kann je nach Version und Umgebung abweichen.

NDES installieren

  1. Installieren Sie die Serverrolle AD CS mit Feature Network Device Enrolment Service.
  2. Richten Sie ein Dienstkonto für NDES ein, das später auf der CA entsprechend berechtigt wird.
  3. Tragen Sie die Informationen für das Zertifikat der Registrierungsstelle (Registration Authority, RA) ein, damit ein Signatur-Zertifikat für diesen Enrollment-Prozess ausgestellt wird.
  4. Legen Sie die Schlüssellänge fest.

In der IIS-Konsole werden die neuen virtuellen Verzeichnisse unterhalb der Default Web Site angezeigt.

Templates konfigurieren

Der SCEP-Server verwendet Templates zur Einreichung an die CA.

  1. Hinterlegen Sie den LDAP-Namen des Templates in der Registry:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP

    Default: IPSecIntermediateOffline
    EncryptionTemplate <templatename>
    GeneralPurposeTemplate <templatename>
    SignatureTemplate <templatename>

  2. Fügen Sie der CA das neue Template hinzu.

  3. Konfigurieren Sie die Verwendung eines Einmal-Kennwortes in der Registry (Gültigkeitsdauer, maximale Anzahl).

Mit dem Einmalkennwort kann ein Client, der SCEP/NDES unterstützt, sich direkt an den SCEP-Server wenden und ein Zertifikat anfordern. Der Client verbindet sich zum Windows SCEP-Server mit der URL http://<CA_FQDN>/certsrv/mscep/mscep.dll

Einmal-Kennwort konfigurieren

entweder

oder

Berechtigungen für NDES-Dienstkonto setzen

SCEP Application pool settings anpassen

Anfordern der Einmalkennworte

  1. Melden Sie sich auf der SCEP-Administator-Webseite mit Ihrem NDES-Dienstkonto an:
    http://<CA_FQDN>/certsrv/mscep_admin/
  2. Kopieren Sie das Challenge-Kennwort in die Konfigurationsdatei scep.ini.