Angenommen, man betreibt einen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), welcher darauf konfiguriert ist, ein statisches Passwort zu verwenden. In diesem Fall ändert sich, im Gegensatz zur Standardkonfiguration, das Passwort für die Zertifikatbeantragung durch NDES-Clients niemals.
Vielleicht strebt man aber einen Zwischenweg an, beispielsweise eine tägliche Änderung des Passworts. Nachfolgend wird ein Weg beschrieben, wie die Änderung des Passworts automatisiert werden kann.
Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".
Um eine Änderung des Passworts zu erwirken, muss das aktuelle Passwort aus der Registrierung gelöscht werden. Es befindet sich in folgendem Pfad:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\EncryptedPassword\EncryptedPassword
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Anschließend muss der SCEP-Anwendungspool neu gestartet werden, damit ein neues Passwort generiert wird.
Bitte beachten, dass ab der Änderungen alle Zertifikatanfragen unter Verwendung des bisherigen Kennworts nicht mehr angenommen werden.
Mit den folgenden drei PowerShell-Befehlen kann der Prozess automatisiert werden. Ebenfalls erfolgt direkt ein Aufruf des NDES Servers, sodass direkt ein neues Kennwort generiert wird.
Remove-ItemProperty ` -Path HKLM:\SOFTWARE\Microsoft\Cryptography\MSCEP\EncryptedPassword ` -Name EncryptedPassword Restart-WebAppPool -Name SCEP Start-Sleep -Seconds 15 [void](Invoke-WebRequest -Uri "http://localhost/certsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACaps")
6 Gedanken zu „Regelmäßige Passwortänderung bei Konfiguration des Registrierungsdienstes für Netzwerkgeräte (NDES) mit einem statischen Passwort“
Kommentare sind geschlossen.