Expire olan SCEP & NDES sertifikaları nasıl yenilenir.

  • Article

 

Simple Certificate Enrollment Protocol ve  Network Device Enrollment Service ; networkteki aygitlarin sertifika ile authenticate edilmesi için uygulanilabilecek çözümlerdir. Simple Certificate Enrollment Protocol 2003 CA de Network Device Enrollment Service  ise 2008 ve sonrasinda bu islemi uygulayan protocol’ün adidir.

Bu konular ile daha ayrintili bilgilere asagidaki linklerden ulasabilirsiniz.

Simple Certificate Enrollment Protocol

AD CS: Network Device Enrollment Service

Size bu post’ta SCEP ya da NDES sertifikalari expire oldugunda ne uygulayabilecegimiz konusunda bilgi vermek istiyorum.

  1. Eger 2003 Server üzerinde SCEP kullaniyor iseniz yeniden SCEP Add’inn ini Simple Certificate Enrollment Protocol kurmaktan baska bir yolunuz bulunmuyor. Bu islem yeni sertifika alarak isleme devam edecektir.
  2. Eger 2008 ve sonrasi isletim sistemlerinde Standalone bir Certification Authority ile iliskili bir  Network Device Enrollment Service yüklü ise bu durumda uygulanacak metod yukardaki etot ile bire bir aynidir.
  3. Eger 2008 ve sonrasi isletim sistemlerinde Enterprise bir Certification Authority ile iliskili bir Network Device Enrollment Service yüklü ise bu durumda uygulanacak metod asagidaki gibidir.

 

  • NDES  daha önce issue edilmis sertifikalari kullanan devicelari yeni sertifika request yapmak için kullanarak certificate renewal için destekler. Bu özellik KB959193 hotfix’in kurulu oldugu Windows Server 2008 R2, Windows Server 2008 Service Pack 2, ya da Windows Server 2008 de desteklenmektedir.
  • Burada önemli nokta renewal isleminin basarili olabilmesi için certificate Subject bilgisinin ayni kalmasi gerekliligidir. Eger sertifikalar yayinlandiktan sonra certificate subject bilgisi modifiye edilirse bu durumda renewal islemi basarisiz olacaktir.
  • Certificate subject name asagidaki registry key’inde modifiye edilmistir :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\<CA Name>
    Multi String value=SubjectTemplate

Enterprise CA NDES Certificate Renewal Islemi 

Sertifikalar expire oldugunda NDES server da application event loglarda asagidaki eventleri görüyor olacaksiniz :

Log Name:      Application
Source:        Microsoft-Windows-NetworkDeviceEnrollmentService
Date:          29.05.2012 11:14:12
Event ID:      31
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      a.a.com
Description:
The Network Device Enrollment Service cannot submit the certificate request (A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.).  0x80004005

Log Name:      Application
Source:        Microsoft-Windows-NetworkDeviceEnrollmentService
Date:          29.05.2012 14:05:35
Event ID:      34
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      a.a.com
Description:
At least one of the certificates for the Network Device Enrollment Service has expired. Verify that both the encryption and signing certificates are valid and restart the service.

Service iki geçerli sertifikaya ihtiyaç duyar. Eger servis sertifikalari expire olmus ise ya da olmak üzere ise bu durumda service admin yeni sertifikalar enroll etmelidir. Yeni sertifikalar enroll etmek için ise :

1.Network Device Enrollment Service ‘e host eden sisteme local administrator olarak login olunuz
2.MMC konsolunu açiniz.
3.File –> -Add Remove Snap-ins kismini snap-in seçim penceresini açmak için tiklayiniz .
4.Certificates snap-in seçip ekleyiniz .
5.Certificate snap-in dialog kutusunda Computer Account, seçip Next seçenegini tiklayiniz sonra Local Computer Account seçip Next seçenegini tiklayiniz.
6.Sonraki sayfa da Finish seçenegini seçiniz.
7.OK tiklayiniz.
8.MMC, üzerinde root node ‘u genisletiniz .
9.Personal node ‘u seçiniz.
10.üzerinde Right-click –>All Tasks –> Request New Certificates.
11. Certificate Enrollment dialog kutusunda Next tiklayiniz.
12certificate template ‘I seçiniz . Default olan CEP Encryption dir .
13.Details tiklayiniz,ve sonrasinda Properties tiklayiniz.
14.Certificate Properties dialog kutusunda,Certification Authority tabini tiklayiniz.
15.Dogru CA den islem yaptiginiza emin olun .

 

1.OK tiklayiniz.
2.Certificate Enrollment dialog kutusunda  Enroll seçenegini tiklayiniz.
3.enrollment tamamlandiginda Personal –>Certificate node’u genisletiniz.
4.Enroll ettiginiz sertifikayi bulunuz
5.Bu sertifikayi seçiniz.
6.Bu sertifika üzerinde Right-click –> select All Tasks –> Manage Private Keys. 
7.Service account’u için read hakkini buraya ekleyiniz. Örnek olarak SCEPSvc.
8.Service’in hemen yapilandirma degisikliklerini almasi için IIS ‘I restart etmeniz gerekmektedir. IISReset komutu burada uygulanilabilir.

Sonrasinda application event loglarda asagidaki hatayi almaya baslayabilirsiniz .

Log Name:      Application
Source:        Microsoft-Windows-NetworkDeviceEnrollmentService
Date:          30.05.2012 11:14:18
Event ID:      29
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      a.a.com
Description:
The password in the certificate request cannot be verified. It may have been used already. Obtain a new password to submit with this request.

Bu durumu asmak için asagidaki registry degeri eklenip sistem restart edilir. Bu asamadan sonra sorunsuz bir sekilde islem yapilmaya baslanilmalidir.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP
EnforcePassword \ EnforcePassword
DWORD
1 degeri 0 yapilir