FortiGate SCEP Certificate Management mit Microsoft NDES

Windows CA: NDES Konfiguration

NDES (Network Device Enrollment Service) ist Microsoft’s Version von SCEP (Simple Certificate Enrollment Protocol) und ein Rollendienst der Active Directory Certificate Services. Die Installation auf einer bereits eingerichteten CA geht recht einfach per PowerShell. Dabei wird standardmäßig die lokale CA verwendet, sowie 2048 Bit Microsoft Strong Cryptographic Provider für Signing und Encryption.

Import-Module ServerManager
Add-WindowsFeatuer Adcs-Device-Enrollment
Install-AdcsNetworkDeviceEnrollmentService -ServiceAccountName <Domain>\<Service-Account> -ServiceAccountPassword <Service-Account-Passwort>

Möchte man von diesem Standard abweichen oder befindet sich der NDES Rollendienst nicht auf der gleichen Maschine, wie die CA, lässt sich dies durch ein paar zusätzliche Parameter konfigurieren (z.B. Remote CA, manuelle Passwort-Eingabe, 4096 Bit Signing/Encryption)

Install-AdcsNetworkDeviceEnrollmentService -CAConfig <CA-Servername>\<CA-Name> -ServiceAccountName <Domain>\<Service-Account> -ServiceAccountPassword (read-host "Set Service-User Password:" -assecurestring) -EncryptionKeyLength 4096 -EncryptionKeyProvider "Microsoft Strong Cryptographic Provider" -SigningKeyLength 4096 -SigningKeyProvider "Microsoft Strong Cryptographic Provider"

FortiGate: SCEP Konfiguration

Um die FortiGate mit dem NDES der Windows CA zu verbinden, sind die VPN Certificate Einstellungen zu konfigurieren:

config vpn certificate local
  edit <Certificate-Name>
    set scep-url https://<NDES-Server-FQDN>/certsrv/mscep/mscep.dll
    set scep-password <NDES-Service-Account-Passwort>
    set auto-regenerate-days <Autorenew-Anzahl-Tage-vor-Ablauf>
    set auto-regenerate-days-warning <Warung-Anzahl-Tage-vor-Ablauf>
  next
end