IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

Simple Certificate Enrollment Protocol Yapılandırması

 

Kısaca SCEP şeklinde ifade edilen (yada Network Device Enrollment Protocol…) protocol network cihazlarına (switch , router , mobile device …) dijital sertifika dağıtımı için kullanılan Active Directory Sertifika Servislerinin bir bileşenidir. Amacım konu hakkında teorik bilgi vermek olmadığından yapılandırma kısmına geçmek istiyorum. Konu hakkında teorik bilgiye ihtiyaç duyanlar için aşağıdaki link faydalı olacaktır.

http://www.cisco.com/warp/public/cc/pd/sqsw/tech/scep_wp.htm

Yapımda üzerinde core CA servisleri çalışan bir Domain Control’ım mevcut. Üzerine SCEP için Network Device Enrollment role service’ini ekleyerek başlıyorum.

clip_image002

Sonraki menüde bir account tedarik edilmesi gerekiyor.

clip_image004

Account’un sahip olması gereken yetkiye dair üstteki resimdeki bilgiler önemlidir.

Ben ismi scepsvc olan bir domain user account’u oluşturmuştum. Bu account’u kullanacağım.

SCEPSVC account’da olması gereken izinler aşağıdaki gibidir:

IIS_IUSR grubunun üyesi olmalıdır.

CA üzerinde request yapabilme yetkisi olmalıdır.

Kullanılacak template üzerinde read&enroll izni olmalıdır.

Active Directory’de spn’i olmalıdır. Bir örnek resim aşağıdaki gibi.

clip_image006

Network Device enrollment bileşenini kurduğum sunucumun ismi dcl2’dir.

Kuruluma devam ediyorum.

Registration Authority bilgilerini aşağıdaki gibi doldurdum.

clip_image008

Devam ediyorum.

Doğrulama ekranı aşağıdaki gibidir.

clip_image010

Not: İlk defa CA bileşenlerini kuracaksanız önce core bileşenleri kurunuz ardından NDES’i ekleyeblirsiniz. Pek ihtiyaç olmasada kurulum sonrasında sunucunuzu yeniden başlatılmasında bir sakıncası yoktur.

Ardından cihazlarınızdan servise erişebilirsiniz. Servise erişim için aşağıdaki url’leri kullanıyorsunuz.

http://sunucu_ismi.domain.tld/mscep

http://sunucu_ismi.domain.tld/mscep_admin

Network Device Enrollment Service’inin hata denetimi , logging’ini ve bir çok detayını incelemek isterseniz ,

http://technet.microsoft.com/en-us/library/ff955644(v=ws.10).aspx adresini kullanabilirsiniz.

Herkese sorunsuz ve neşeli günler …