Microsoft NDES:安全なデバイス認証と証明書管理

投稿者

• Stephen J. Bigelow、シニア テクノロジー エディター

公開日:2017 年 2 月 28 日

Microsoft ネットワーク デバイス登録サービス (NDES) は、Windows Server 2008 R2 以降の Windows Server オペレーティング バージョンのセキュリティ機能です。 NDES は、トラフィックを認証し、有効なドメイン認証情報を持たないデバイスとの安全なネットワーク通信を実装するために使用される証明書を提供および管理します。

NDES は Active Directory 証明書サービス (AD CS) の機能であり、簡易証明書登録プロトコル (SCEP) に基づいています。これにより、他の AD ドメイン資格情報を持たないデバイスを登録して、証明機関 (CA) (通常は専用 CA サーバー) からの X.509 証明書のバージョン 3 を使用できます。管理者は NDES を使用して、公開キーの配布、証明書の登録、クエリおよび失効をサポートします。 NDES は、デバイスにワンタイム登録パスワードを提供し、デバイス登録リクエストを CA に転送し、登録された証明書を CA から受信してデバイスに転送します。

NDES の一般的な用途は、ルーター、ファイアウォール、スイッチなどの専用ネットワーク デバイスに証明書を発行することです。これらのデバイスは通常、ネットワーク トラフィックを処理する内部ソフトウェアを実行します。ただし、これらのデバイスの一部には Active Directory ドメインの従来の認証情報がないため、管理者は認証に NDES などのサービスを使用する必要があります。

NDES を構成する場合、管理者は優先 CA サーバーを指定したり、証明書の作成に使用される登録局 (RA) の情報を設定したり、さまざまな暗号化サービス プロバイダーを使用してキーを保存したりキーの長さを変更したりするための暗号化設定を構成することもできます。

一般的な登録プロセスは、目的のデバイスの公開キーと秘密キーのペアが作成されるときに始まります。次に、NDES は管理者にパスワードを渡します。管理者はデバイスにパスワードを設定し、デバイスが組織の公開キー基盤 (PKI) を信頼できるようにすることができます。次に、管理者はデバイスが NDES に登録要求を送信できるようにし、NDES は要求を確認して CA に転送します。 CA は証明書を発行して NDES に返し、最終的にデバイスは発行された証明書を NDES から取得して登録を完了します。

適切に登録されたデバイスは、CA によって発行された秘密キーと対応する証明書を受け取り、安全なネットワーク セッションで信頼できるエンティティになります。デバイス上で実行されているソフトウェアは、これらの認証情報を使用して、ネットワーク内の他のデバイスとトラフィックを安全に交換できます。

NDES では、いくつかの異なる要素が使用されます。デバイスまたはクライアントは、ルーターやインテリジェント スイッチなどの物理ターゲット デバイスであり、ドメイン資格情報が不足しており、証明書が必要です。このサービスは NDES サーバーであり、登録局と呼ばれることもあります。 CA サーバーは証明書サービスを実行し、クライアントに証明書を発行します。ドメイン コントローラーは、証明書テンプレートを保存し、エンタープライズ ドメイン全体に証明書ポリシーを適用するサーバーの役割である Active Directory ドメイン サービス (AD DS) を処理します。

Microsoft ネットワーク デバイス登録サービス (NDES) についての続きを読む

• ネットワーク デバイス登録サービスを構成する

• 管理者が知っておくべき Windows Server PKI の改善点

• ネットワーク デバイス登録サービスのガイダンス

• ネットワーク デバイス登録サービスでのポリシー モジュールの使用

• 証明書インフラストラクチャを構成する

IT 運用とインフラストラクチャ管理についてさらに深く掘り下げる

• 

  Android 証明書管理について理解する

  

  投稿者:ニハド・ハッサン

• 

  登録局 (RA) とは何ですか?

  

  投稿者:ラーフル・アワティ

• 

  認証局 (CA) とは何ですか?

  

  投稿者:ラーフル・アワティ

• 

  SSL (Secure Sockets Layer) とは何ですか?

  

  投稿者:ラーフル・アワティ