โดย
- Stephen J. Bigelow บรรณาธิการอาวุโสด้านเทคโนโลยี
เผยแพร่:28 กุมภาพันธ์ 2017
Microsoft Network Device Enrollment Service (NDES) เป็นคุณลักษณะด้านความปลอดภัยใน Windows Server 2008 R2 และเวอร์ชันปฏิบัติการ Windows Server ที่ใหม่กว่า NDES จัดเตรียมและจัดการใบรับรองที่ใช้ในการตรวจสอบการรับส่งข้อมูลและใช้การสื่อสารเครือข่ายที่ปลอดภัยกับอุปกรณ์ที่อาจไม่มีข้อมูลรับรองโดเมนที่ถูกต้อง
NDES เป็นฟังก์ชันของ Active Directory Certificate Services (AD CS) และอิงตาม Simple Certificate Enrollment Protocol (SCEP) ซึ่งสามารถลงทะเบียนอุปกรณ์โดยไม่ต้องมีข้อมูลรับรองโดเมน AD อื่นๆ เพื่อใช้ใบรับรอง X.509 เวอร์ชัน 3 จากผู้ออกใบรับรอง (CA) ซึ่งโดยปกติแล้วจะเป็นเซิร์ฟเวอร์ CA เฉพาะ ผู้ดูแลระบบใช้ NDES เพื่อรองรับการแจกจ่ายคีย์สาธารณะ การลงทะเบียนใบรับรอง การสอบถาม และการเพิกถอน NDES มอบรหัสผ่านการลงทะเบียนแบบครั้งเดียวสำหรับอุปกรณ์ ส่งต่อคำขอการลงทะเบียนอุปกรณ์ไปยัง CA รับใบรับรองที่ลงทะเบียนจาก CA และส่งต่อไปยังอุปกรณ์
การใช้งานทั่วไปของ NDES คือการออกใบรับรองให้กับอุปกรณ์เครือข่ายเฉพาะ เช่น เราเตอร์ ไฟร์วอลล์ และสวิตช์ ซึ่งโดยทั่วไปจะเรียกใช้ซอฟต์แวร์ภายในเพื่อจัดการการรับส่งข้อมูลเครือข่าย อย่างไรก็ตาม อุปกรณ์เหล่านี้บางส่วนไม่มีข้อมูลประจำตัวแบบดั้งเดิมสำหรับโดเมน Active Directory และผู้ดูแลระบบจะต้องใช้บริการเช่น NDES สำหรับการตรวจสอบสิทธิ์
เมื่อกำหนดค่า NDES ผู้ดูแลระบบยังสามารถระบุเซิร์ฟเวอร์ CA ที่ต้องการ ตั้งค่าข้อมูลสำหรับหน่วยงานการลงทะเบียน (RA) ที่ใช้ในการสร้างใบรับรอง และกำหนดการตั้งค่าการเข้ารหัสเพื่อใช้ผู้ให้บริการการเข้ารหัสที่แตกต่างกันเพื่อจัดเก็บคีย์หรือเปลี่ยนความยาวของคีย์
กระบวนการลงทะเบียนโดยทั่วไปเริ่มต้นขึ้นเมื่อมีการสร้างคู่คีย์สาธารณะ-ส่วนตัวสำหรับอุปกรณ์ที่ต้องการ จากนั้น NDES จะส่งรหัสผ่านให้กับผู้ดูแลระบบ ผู้ดูแลระบบสามารถตั้งค่าอุปกรณ์ด้วยรหัสผ่านและอนุญาตให้อุปกรณ์เชื่อถือโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ขององค์กร จากนั้นผู้ดูแลระบบอนุญาตให้อุปกรณ์ส่งคำขอการลงทะเบียนไปยัง NDES ซึ่งจะรับทราบคำขอและส่งต่อคำขอไปยัง CA CA จะออกใบรับรองและส่งกลับไปยัง NDES และในที่สุดอุปกรณ์ก็จะดึงใบรับรองที่ออกให้จาก NDES เพื่อดำเนินการลงทะเบียนให้เสร็จสมบูรณ์
อุปกรณ์ที่ลงทะเบียนอย่างถูกต้องจะได้รับคีย์ส่วนตัวและใบรับรองที่เกี่ยวข้องซึ่งออกโดย CA เพื่อให้เป็นเอนทิตีที่เชื่อถือได้ในเซสชันเครือข่ายที่ปลอดภัย ซอฟต์แวร์ที่ทำงานบนอุปกรณ์จะสามารถใช้ข้อมูลประจำตัวเหล่านั้นเพื่อแลกเปลี่ยนการรับส่งข้อมูลอย่างปลอดภัยกับอุปกรณ์อื่น ๆ ในเครือข่าย
NDES ใช้องค์ประกอบที่แตกต่างกันหลายประการ อุปกรณ์หรือไคลเอนต์คืออุปกรณ์เป้าหมายทางกายภาพ เช่น เราเตอร์หรือสวิตช์อัจฉริยะ ซึ่งไม่มีข้อมูลรับรองโดเมนและต้องมีใบรับรอง บริการนี้เป็นเซิร์ฟเวอร์ NDES - - และอาจเรียกว่าหน่วยงานการลงทะเบียน เซิร์ฟเวอร์ CA เรียกใช้บริการใบรับรองและออกใบรับรองให้กับลูกค้า ตัวควบคุมโดเมนจัดการ Active Directory Domain Services (AD DS) ซึ่งเป็นบทบาทของเซิร์ฟเวอร์ที่เก็บเทมเพลตใบรับรองและบังคับใช้นโยบายใบรับรองทั่วทั้งโดเมนองค์กร
อ่านต่อเกี่ยวกับบริการการลงทะเบียนอุปกรณ์เครือข่าย Microsoft (NDES)
- กำหนดค่าบริการการลงทะเบียนอุปกรณ์เครือข่าย
- ผู้ดูแลระบบการปรับปรุง PKI ของ Windows Server ควรรู้
- คำแนะนำบริการการลงทะเบียนอุปกรณ์เครือข่าย
- การใช้โมดูลนโยบายกับบริการการลงทะเบียนอุปกรณ์เครือข่าย
- กำหนดค่าโครงสร้างพื้นฐานใบรับรอง
เจาะลึกการดำเนินงานด้านไอทีและการจัดการโครงสร้างพื้นฐาน
-
ทำความเข้าใจการจัดการใบรับรอง Android
โดย:นิฮัด ฮัสซัน
-
หน่วยงานลงทะเบียน (RA) คืออะไร?
โดย:ราหุล อวาติ
-
ผู้ออกใบรับรอง (CA) คืออะไร
โดย:ราหุล อวาติ
-
SSL (Secure Sockets Layer) คืออะไร
โดย:ราหุล อวาติ
