Simple Certificate Enrollment Protocol Yapılandırması
Kısaca SCEP şeklinde ifade edilen (yada Network Device Enrollment Protocol…) protocol network cihazlarına (switch , router , mobile device …) dijital sertifika dağıtımı için kullanılan Active Directory Sertifika Servislerinin bir bileşenidir. Amacım konu hakkında teorik bilgi vermek olmadığından yapılandırma kısmına geçmek istiyorum. Konu hakkında teorik bilgiye ihtiyaç duyanlar için aşağıdaki link faydalı olacaktır.
http://www.cisco.com/warp/public/cc/pd/sqsw/tech/scep_wp.htm
Yapımda üzerinde core CA servisleri çalışan bir Domain Control’ım mevcut. Üzerine SCEP için Network Device Enrollment role service’ini ekleyerek başlıyorum.
Sonraki menüde bir account tedarik edilmesi gerekiyor.
Account’un sahip olması gereken yetkiye dair üstteki resimdeki bilgiler önemlidir.
Ben ismi scepsvc olan bir domain user account’u oluşturmuştum. Bu account’u kullanacağım.
SCEPSVC account’da olması gereken izinler aşağıdaki gibidir:
IIS_IUSR grubunun üyesi olmalıdır.
CA üzerinde request yapabilme yetkisi olmalıdır.
Kullanılacak template üzerinde read&enroll izni olmalıdır.
Active Directory’de spn’i olmalıdır. Bir örnek resim aşağıdaki gibi.
Network Device enrollment bileşenini kurduğum sunucumun ismi dcl2’dir.
Kuruluma devam ediyorum.
Registration Authority bilgilerini aşağıdaki gibi doldurdum.
Devam ediyorum.
Doğrulama ekranı aşağıdaki gibidir.
Not: İlk defa CA bileşenlerini kuracaksanız önce core bileşenleri kurunuz ardından NDES’i ekleyeblirsiniz. Pek ihtiyaç olmasada kurulum sonrasında sunucunuzu yeniden başlatılmasında bir sakıncası yoktur.
Ardından cihazlarınızdan servise erişebilirsiniz. Servise erişim için aşağıdaki url’leri kullanıyorsunuz.
http://sunucu_ismi.domain.tld/mscep
http://sunucu_ismi.domain.tld/mscep_admin
Network Device Enrollment Service’inin hata denetimi , logging’ini ve bir çok detayını incelemek isterseniz ,
http://technet.microsoft.com/en-us/library/ff955644(v=ws.10).aspx adresini kullanabilirsiniz.
Herkese sorunsuz ve neşeli günler …