Folgendes Szenario angenommen:
- Ein NDES Server ist im Netzwerk konfiguriert.
- Der NDES Server ist für die Verwendung eines statischen Passworts konfiguriert.
- Das statische Passwort soll geändert werden.
Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".
Lösung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Dies wird durch Löschung des EncryptedPassword Wertes unterhalb des folgende Registry-Schlüssels erreicht:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\EncryptedPassword
Anschließend muss der NDES-Dienst durch den iisreset-Befehl neu gestartet werden.
Nun muss noch einmalig die NDES Administrations-Webseite (mscep_admin) aufgerufen werden, damit ein neues Passwort generiert wird.
Das neue statische Passwort muss nun natürlich noch in den entsprechenden Anwendungen, welche den NDES nutzen, eingetragen werden.
Regelmäßige Änderung des Passworts
Siehe Artikel "Regelmäßige Passwortänderung bei Konfiguration des Registrierungsdienstes für Netzwerkgeräte (NDES) mit einem statischen Passwort".
Weiterführende Links:
- Der Network Device Enrollment Service (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot create or modify the registry key Software\Microsoft\Cryptography\MSCEP\EncryptedPassword."
- Der Network Device Enrollment Service (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified."
- Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem statischen Passwort konfigurieren
Deutsch 
English