Implementacja protoko\u0142u SCEP wed\u0142ug Microsoftu to Network Device Enrollment Service (NDES). Jest to rola Active Directory Certificate Service, zgodnie z dokumentacj\u0105, rola ta, powinna by\u0107 instalowana na innym serwerze ni\u017c serwer g\u0142\u00f3wny CA (Enterprise). Najlepiej i najpro\u015bciej jest doinstalowa\u0107 t\u0119 rol\u0119 do serwera DHCP obs\u0142uguj\u0105cego terminale. Instalacja NDES jest opisana tu<\/a> i tu<\/a>, i jak wida\u0107, jest bardzo prosta.<\/p>\n <\/p>\n \n Jedyne miejsce w kt\u00f3rym mo\u017cna si\u0119 naci\u0105\u0107, to rejestr w kt\u00f3rym podajemy nazwy wzorcowych certyfikat\u00f3w (template). Na poni\u017cszym rysunku, w linii pierwszej mamy prawid\u0142owy wpis, czyli w\u0142asna nazwa domy\u015blnego certyfikatu IPSec (Offline Request) a w kolejnych, nieprawid\u0142owe (domy\u015blne) wpisy IPSec Intermediate.<\/p>\n Je\u015bli tego nie poprawimy, to wchodz\u0105c na adres naszego Urz\u0119du Rejestracji (RA) <\/font>https:\/\/ugdhcp1.pulab.local\/certsrv\/mscep_admin\/<\/a> dostaniemy nast\u0119puj\u0105cy komunikat (zamiast poprawnie wy\u015bwietlonego Challenge Password):<\/p>\n The Network Device Enrollment Service cannot provide its password because the user does not have Enroll permissions on the configured certificate template, or the certification authority is not enabled to issue certificates based on the configured certificate template.<\/p>\n Na tej<\/a> stronie mamy opisy potencjalnych b\u0142\u0119d\u00f3w jakie mog\u0105 nas n\u0119ka\u0107 w trakcie instalacji NDES. Na stronie<\/a> Teradici, mamy ma\u0142y artyku\u0142 w bazie wiedzy, kt\u00f3ry pozwala nam unikn\u0105\u0107 kolejnej miny, serwer SCEP musi by\u0107 zainstalowany w tej samej sieci w kt\u00f3rej funkcjonuj\u0105 terminale PCoIP.<\/p>\n Po poprawnym skonfigurowaniu ca\u0142o\u015bci, otrzymujemy, jak\u017ce mi\u0142y dla naszych oczu, komunikat:<\/p>\n Co dalej? Dalej pobieramy<\/a> Management Console, jest to maszyna wirtualna kt\u00f3r\u0105 najlepiej od razu wci\u0105gn\u0105\u0107 do naszego \u015brodowiska vCenter za pomoc\u0105 VMware Convertera (maszyna jest przygotowana do dzia\u0142ania w VMware Player). Poprawne skonfigurowanie \u015brodowiska dla terminali wymaga przygotowania odpowiedniego rekordu DNS SRV oraz DHCP Vendor Class, ca\u0142o\u015b\u0107 jest opisana w dokumentacji<\/a>. Gdy mamy dzia\u0142aj\u0105c\u0105 konsol\u0119, tworzymy profil kt\u00f3rego cz\u0119\u015bci\u0105 b\u0119d\u0105 ustawienia SCEP, zak\u0142adam tutaj, \u017ce wykorzystujemy Windows Server 2008R2 kt\u00f3ry umo\u017cliwia przygotowanie nie wygasaj\u0105cego Challenge Password. Ka\u017cdy nowo wpi\u0119ty do sieci terminal zostanie przypisany do profilu dzi\u0119ki czemu otrzyma on od razu par\u0119 klucz+certyfikat. Tak wygenerowana para mo\u017ce by\u0107 u\u017cyta przy protokole 802.1X, aczkolwiek nie mo\u017cna tego ustawi\u0107 w profilu globalnym i trzeba r\u0119cznie ustawi\u0107 to na ka\u017cdym urz\u0105dzeniu. Pytania? Zaczn\u0119 od truizmu, uruchamianie \u015brodowiska VMware bez w\u0142asnego Urz\u0119du Certyfikacji, jest bez sensu. Samo podpisane certyfikaty to same problemy, w bardziej rozbudowanych konfiguracjach wr\u0119cz blokuj\u0105ce dalsz\u0105 rozbudow\u0119 \u015brodowiska. Je\u017celi w naszym \u015brodowisku opieramy si\u0119 o domen\u0119 Active Directory Microsoftu, wtedy … Continue reading ![\"ndes\"](\"https:\/\/vm.piszki.pl\/wp-content\/uploads\/2013\/09\/ndes_thumb1.png\" "\\"ndes\\"")
<\/a><\/p>\n![\"scep1\"](\"https:\/\/vm.piszki.pl\/wp-content\/uploads\/2013\/09\/scep1_thumb.png\" "\\"scep1\\"")
<\/a><\/p>\n![\"U\u015bmiech\"](\"https:\/\/vm.piszki.pl\/wp-content\/uploads\/2013\/09\/wlEmoticon-smile.png\")
<\/p>\n