iT Notes

iT Notes

Центр обмена знаниями по различным it системам.

Конфигурирование службы Network Device Enrollment Service NDES SCEP.

Configuring the Network Device Enrollment Service
Конфигурирование службы Network Device Enrollment Service NDES SCEP
Небольшая заметка по настройкам службы NDES.
Служба NDES использует для хранения настроек реестр. Все настройки хранятся в одной ветке реестра, опиши значения этих настроек.Если отсутствует какой либо ключ, служба будет использовать настройки по умолчанию см.таблицу ниже.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP

Key\Value or Value Type Default Usage
EnforcePassword\EnforcePassword DWORD       1 1 = MSCEP для получения сертификата необходимо указать пароль
0 = Пароль не требуется,любой может запросить сертификата.
SignatureTemplate String IPSECIntermediateOffline В данном значение указанно имя шаблона который используется при выдаче сертификата, при использование Standalone CA используется значение по умолчани IPSECIntermediateOffline. При использовании Enterprise CA можно указать свой тип сертификата.
EncryptionTemplate String IPSECIntermediateOffline Аналогично предыдущему пункту.
GeneralPurposeTemplate String IPSECIntermediateOffline If this key is set, the service will use the value as the certificate template name when the device sends an enrollment request with empty or 0xa0 value for the KeyUsage extension. If it is not set, the service will use the IPSECIntermediate
Offline template.
CAType\CAType DWORD     Based on setup указывается тип установленного CA
1 = Enterprise
0 = Stand-alone
CAInfo\Configuration String      Based on setup Используется в том случае если NDES и CA установлены на разных серверах. Необходимо указать имя сервера и имя CA
CAMachineName\CAName.
RefreshPeriod\RefreshPeriod Binary      7 Сколько хранить в кеше данные запроса указывается в днях.
Значение HKEY_LOCAL_ROOT\Software\Microsoft\Cryptography\MSCEP\Refresh.
CacheRequest\CacheRequest DWORD     20 Сколько хранить в кеше выданный сертификат(в минутах).
CertsInMYStore\CertsInMyStore DWORD        1 1 = The service will look for its certificates in the computer “My” store.
0 = The service will look for its certificates in the computer “CEP” store.
Note  If the key does not exist, the service will look for its certificates in the computer “CEP” store.
PasswordMax\PasswordMax DWORD     5 Максимально количество доступных паролей.
Если ваши устройства запросят все 5 паролей, и при этом не получат сертификаты. То следующие устройства будут ожидать освобождения. Можно смоделировать ситуация обновив страницу 5 раз.
Рекомендуется увеличить до 15.
PasswordVDir\PasswordVDir String    MSCEP_Admin Виртуальный путь с которого будут принимать пароли, по умолчанию это
http://172.20.1.1/certsrv/mscep_admin/
PasswordValidity\PasswordValidity DWORD      60 Сколько минут действует выданный пароль.
PasswordLength\PasswordLength DWORD      8 Длина пароля.
HashAlgorithm\HashAlgorithm String    SHA1 Алгоритм хеширования, данное значение задается при установке.
DisableRenewalSubjectNameMatch\DisableRenewalSubjectNameMatch DWORD     n/a When set to 0x1, disables subject and subject alternative names match during certificate renewal.
UseSinglePassword\UseSinglePassword DWORD      0x0 Включает\выключает режим использования одного пароля. По умолчанию пароли генерятся новые.
EncryptedPassword\EncryptedPassword Binary      n/a При использование режима одного пароля, тут хранятся данные жеша.
Не стоит трогать или менять это значениеJ

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

You may use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">