آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

نصب NDES

همانطور که گفته شد، Network Device Enrollment Service به روترها و دیگر تجهیزات شبکه اجازه می دهد تا براساس پروتکل Simple Certificate Enrollment Protocol (SCEP)، از سیستم های سیسکو certificate دریافت کنند. پروتکل SCEP برای پشتیبانی از صدور certificate های ایمن و معتبر برای تجهیزات شبکه به کار می رود.

توجه کنید که ویژگی NDES را نمی توان همراه با Certificate Authority نصب کرد. می بایست ابتدا CA را نصب کرد و سپس NDES را نصب نمود.

توجه کنید که نصب این ویژگی می بایست روی سرور issuing CA باشد، چون قرار نیست که root CA در شبکه فعالیت کرده باید آفلاین شود. نکته دیگر اینکه، در ابتدای نصب، می بایست یک حساب کاربری ایجاد کنید:

  • ابتدا به سرور Active Directory رفته (همان DC) و Active Directory Users And Computers را اجرا کنید. دقت کنید که این حساب کاربری (User Account) را در یک OU ای قرار دهید که policy اعمال نشده باشد. روی OU راست کلیک کرده و از New روی User کلیک کنید. در قسمت Name، نامی را انتخاب کنید. این نام را در logon name و pre-Windows 2000 logon نیز بنویسید. برای مثال NDESService بدین صورت نام گذاری کنید. پسوردی پیچیده را انتخاب کرده و گزینه Password Never Expires را تیک بزنید. همچنین دقت کنید که تیک User Must Change Password At Next Logon را بردارید.
  •  حالا به سرور issuing CA رفته و از Server Manager به Configuration رفته و از Local Users And Groups پوشه Groups را کلیک کنید. حال گروه IIS_IUSRS را باز کنید.

certificate services 35

  • حال Add را زده و user ای که ایجاد کرده اید را به این گروه اضافه کنید.

certificate services 36

  • تا اینجا زمینه را برای نصب NDES آماده کرده اید. حال از Server Manager و Active Directory Certificate Services گزینه Services  Add Role را انتخاب کنید.

certificate services 37

  • در صفحه Select Role Services، گزینه Network Device Enrollment Service را انتخاب کنید. با انتخاب این گزینه، چند مورد از IIS نیز می بایست نصب شود که Add کرده و next کنید.

certificate services 38

  • در صفحه Specify User Account، روی Select User کلیک کرده و NDESService را با پسوردش وارد کرده و OK و next کنید.

certificate services 39

  • در صفحه Specify Registration Authority Information، می بایست اطلاعات مربوط به CA ای که وظیفه مدیریت certificate ها را به عهده دارد وارد می کنید. در قسمت RA Name نام را بصورت ServerSetup-MSCEP-RA01 نوشته و کشور خود را انتخاب کنید. بقیه اطلاعات نیازی به وارد کردن نیست.

certificate services 40

  • در صفحه Configure Cryptography For Registration Authority تنظیمات پیشفرض را به همان صورت Next کنید. این بخش مربوط به نوع رمزنگاری و اندازه طول کلید است.

به خاطر داشته باشید که اندازه طول کلید، به استفاده از CPU تاثیر مستقیم دارد. اما حداقل اندازه را برای افزایش امنیت رعایت کرده و 2048 را انتخاب کنید.

certificate services 41

  • پس از این مراحل، بخش مربوط به نصب IIS می رسید که بدون تغییر next کرده و در انتها Install کنید. پس از این مراحل، NDES قابل استفاده خواهد بود.