Microsoft NDES:Quản lý chứng chỉ và xác thực thiết bị an toàn

Bởi

Stephen J. Bigelow, Biên tập viên công nghệ cao cấp

Đã xuất bản:ngày 28 tháng 2 năm 2017

Dịch vụ đăng ký thiết bị mạng của Microsoft (NDES) là một tính năng bảo mật trong Windows Server 2008 R2 và các phiên bản điều hành Windows Server mới hơn. NDES cung cấp và quản lý các chứng chỉ được sử dụng để xác thực lưu lượng truy cập và triển khai giao tiếp mạng an toàn với các thiết bị có thể không có thông tin xác thực tên miền hợp lệ.

NDES là một chức năng của Dịch vụ chứng chỉ Active Directory (AD CS) và dựa trên Giao thức đăng ký chứng chỉ đơn giản (SCEP), có thể đăng ký các thiết bị không có thông tin xác thực miền AD khác để sử dụng phiên bản 3 của chứng chỉ X.509 từ cơ quan chứng nhận (CA), thường là máy chủ CA chuyên dụng. Quản trị viên sử dụng NDES để hỗ trợ phân phối khóa công khai, đăng ký chứng chỉ, truy vấn và thu hồi. NDES cung cấp mật khẩu đăng ký một lần cho thiết bị, chuyển tiếp yêu cầu đăng ký thiết bị tới CA, nhận chứng chỉ đã đăng ký từ CA và chuyển tiếp chúng đến thiết bị.

Cách sử dụng phổ biến của NDES là cấp chứng chỉ cho các thiết bị mạng chuyên dụng - chẳng hạn như bộ định tuyến, tường lửa và bộ chuyển mạch - thường chạy phần mềm nội bộ để xử lý lưu lượng mạng. Tuy nhiên, một số thiết bị này không có thông tin xác thực truyền thống cho miền Active Directory và quản trị viên phải sử dụng dịch vụ như NDES để xác thực.

Khi định cấu hình NDES, quản trị viên cũng có thể chỉ định máy chủ CA ưa thích, đặt thông tin cho cơ quan đăng ký (RA) được sử dụng để xây dựng chứng chỉ và định cấu hình cài đặt mật mã để sử dụng các Nhà cung cấp dịch vụ mật mã khác nhau để lưu trữ khóa hoặc thay đổi độ dài khóa.

Quá trình đăng ký thông thường bắt đầu khi cặp khóa công khai được tạo cho thiết bị mong muốn. NDES sau đó cung cấp mật khẩu cho quản trị viên. Quản trị viên có thể đặt mật khẩu cho thiết bị và cho phép thiết bị tin cậy vào cơ sở hạ tầng khóa công khai (PKI) của tổ chức. Sau đó, quản trị viên cho phép thiết bị gửi yêu cầu đăng ký tới NDES, NDES xác nhận yêu cầu và chuyển tiếp yêu cầu đến CA. CA cấp chứng chỉ và trả lại cho NDES, sau đó thiết bị cuối cùng sẽ truy xuất chứng chỉ đã cấp từ NDES để hoàn tất quá trình đăng ký.

Một thiết bị được đăng ký đúng cách sẽ nhận được khóa riêng và chứng chỉ tương ứng do CA cấp để trở thành thực thể đáng tin cậy trong phiên mạng an toàn. Sau đó, phần mềm chạy trên thiết bị có thể sử dụng những thông tin xác thực đó để trao đổi lưu lượng truy cập một cách an toàn với các thiết bị khác trong mạng.

NDES sử dụng một số phần tử khác nhau. Thiết bị hoặc máy khách là thiết bị mục tiêu vật lý, chẳng hạn như bộ định tuyến hoặc bộ chuyển mạch thông minh, thiếu thông tin xác thực tên miền và yêu cầu chứng chỉ. Dịch vụ này là máy chủ NDES - -và có thể được gọi là cơ quan đăng ký. Máy chủ CA chạy các dịch vụ chứng chỉ và cấp chứng chỉ cho máy khách. Bộ điều khiển miền xử lý Dịch vụ miền Active Directory (AD DS), đây là vai trò máy chủ lưu trữ các mẫu chứng chỉ và thực thi các chính sách chứng chỉ trên toàn miền doanh nghiệp.