Segurança : Cisco Secure Access Control Server para Windows

Permita o HTTPS com configuração dos serviços certificados SSL para sessões de administrador do Cisco Secure ACS

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Por padrão, o Cisco Secure Access Control Server (ACS) usa o HTTP para suas sessões administrativas. Esta configuração de exemplo discute:

  • uso do HTTPS para alcançar a interface HTML do Cisco Secure ACS

  • configuração do certificado (que é exigida antes que você puder permitir o HTTPS)

Este documento foi redigido originalmente para acomodar os Certificados criados com um Microsoft Certificate Authority (CA), mas foi atualizado para adicionar etapas para usar um certificado auto-assinado, que fosse apoiado até à data de ACS 3.3. O uso de um certificado auto-assinado aerodinamiza a instalação consideravelmente porque CA externo não é exigido.

Nota: Se você deseja usar um certificado auto-assinado, ir à criação e instalar a seção do certificado auto-assinado (somente se não usando CA externo) deste documento.

Nota: Se você usa serviços certificados exteriores do vendedor, seja certo que você obtém o certificado apropriado para seu servidor de Web dos vendedores como Verisign. Os Certificados diferentes puderam ser oferecidos para Microsoft IIS e Apache.

Pré-requisitos

Requisitos

Você deve abrir uma sessão do admin local antes de permitir o HTTPS. Mantenha esta sessão aberta depois que você a permite. Teste a conexão com uma sessão remota de modo que se não trabalha (seja qual for a razão), você possa deselect o transporte de HTTPS para opção de Acesso de administração do uso. Uma vez que você verificou este, você pode fechar a sessão local.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • ACS 3.1.1 ou mais atrasado exigidos

  • Microsoft CA server

  • Internet Information Server (IIS) (deve ser instalado antes que você instalar CA)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Procedimentos

Nesta seção, você é presentado com a informação para instalar o Microsoft CA server.

Instale o server do certificado de Microsoft (CA)

Conclua estes passos:

  1. Escolha o começo > os ajustes > o Control Panel.

  2. Dentro do Control Panel, abra adicionar/removeres programar.

  3. Nos adicionar/removeres programar, seletos adicionar/remova componentes do Windows.

  4. Escolha serviços certificados.

  5. Clique em Next.

  6. Clique sim ao mensagem IIS.

  7. Escolha uma CA raiz autônoma (ou empresa).

  8. Clique em Next.

  9. Nomeie CA.

    Nota: Todas as caixas restantes são opcionais.

    Nota: Avoid que dá a CA o mesmo nome que o servidor ACS. Isto pode fazer com que os clientes PEAP falhem a autenticação porque se tornam confusos quando um certificado CA raiz é encontrado com o mesmo nome que o certificado de servidor. Este problema não é original aos clientes Cisco. Se você não planeia usar o PEAP, este não se aplica.

  10. Clique em Next.

  11. O padrão do banco de dados está correto.

  12. Clique em Next.

    O IIS deve ser instalado antes que você instale CA.

Crie um certificado de servidor

Conclua estes passos:

  1. De seu servidor ACS, consulte a CA (http://IP_of_CA_server/certsrv/).

  2. Verifique o pedido uma caixa do certificado.

  3. Clique em Next.

  4. Escolha o pedido avançado.

  5. Clique em Next.

  6. Escolha submetem um pedido de certificado para este CA usando um formulário.

  7. Clique em Next.

  8. Datilografe um nome na caixa do nome (CN).

  9. Para a finalidade pretendida, escolha o certificado de autenticação de servidor.

    Nota:  Se você usa a empresa CA, escolha o servidor de Web da primeira lista de drop-down.

  10. Escolha estes sob a opção chave criar um molde novo:

    • CSP — V1.0 do provedor criptográfico de base Microsoft

    • Tamanho chave — 1024

      Nota: Os Certificados criados com um tamanho chave maior de 1024 puderam trabalhar para o HTTPS mas não trabalham para o PEAP.

      Nota: A empresa CA de Windows 2003 permite os tamanhos chaves maiores de 1024, mas utilização de um chave maior de 1024 não trabalham com PEAP. A autenticação pôde parecer passar no ACS, mas o cliente apenas pendura quando a autenticação for tentada.

    • Chaves como Exportable

      Nota: Microsoft mudou o molde do servidor de Web com a liberação da empresa CA de Windows 2003. Com esta mudança do molde, as chaves são já não exportable, e a opção é desabilitada para fora. Não há nenhum outro molde de certificado fornecido com os serviços certificados que são para a autenticação de servidor, ou que dão a capacidade para marcar chaves como exportable no menu suspenso. A fim criar um molde novo que faça assim, para ver a criação uma seção nova do molde de certificado.

    • Use a loja de máquina local

    Nota: Todas escolhas restantes devem ser deixadas como o padrão.

  11. Clique em Submit.

  12. Você deve receber esta mensagem: Seu pedido do certificado foi recebido.

Crie um molde de certificado novo

Conclua estes passos:

  1. Escolha o Iniciar > Executar > o certmpl.msc.

  2. Clicar com o botão direito o molde do servidor de Web.

  3. Escolha o molde duplicado.

  4. Dê ao molde um nome, tal como o ACS.

  5. Clique a aba da manipulação de pedido.

  6. Escolha permitem que a chave privada seja exportada.

  7. Clique o botão CSP.

  8. Escolha o v1.0 do provedor criptográfico de base Microsoft.

  9. Clique em OK.

    Nota: Todas as outras opções devem ser deixadas como o padrão.

  10. Clique em Apply.

  11. Clique em OK.

  12. Abra CA MMC pressão-em.

  13. Clicar com o botão direito moldes de certificado.

  14. Escolha novo > molde de certificado a emitir.

  15. Escolha o molde que novo você criou.

  16. Clique em OK.

  17. Reinicie CA.

    O molde novo é incluído na lista de drop-down do molde de certificado.

Aprove o certificado de CA

Conclua estes passos:

  1. Escolha o iniciar > programas > ferramentas administrativas > o Certificate Authority.

  2. No windowpane esquerdo, expanda o certificado.

  3. Escolha durante pedidos.

  4. Clicar com o botão direito no certificado.

  5. Escolha todas as tarefas.

  6. Escolha a edição.

Transfira o certificado de servidor ao servidor ACS

Conclua estes passos:

  1. De seu servidor ACS, consulte a CA (http://IP_of_CA_server/certsrv/).

  2. Escolha a verificação em um certificado pendente.

  3. Clique em Next.

  4. Selecione o certificado.

  5. Clique em Next.

  6. O clique instala.

Instale o certificado de CA no servidor ACS

Nota: Estas etapas não são exigidas se o ACS e CA são instalados no mesmo server.

    Conclua estes passos:

  1. De seu servidor ACS, consulte a CA (http://IP_of_CA_server/certsrv/).

  2. Escolha recuperam o certificado de CA ou a lista de revogação de certificado.

  3. Clique em Next.

  4. Escolha Base64 codificou.

  5. Clique o certificado de CA da transferência.

  6. Clique aberto.

  7. O clique instala o certificado.

  8. Clique em Next.

  9. Escolha o lugar todos os Certificados na seguinte loja.

  10. O clique consulta.

  11. Verifique a caixa das lojas do show physical.

  12. No windowpane esquerdo, expanda Autoridades de certificação de raiz confiável.

  13. Escolha o computador local.

  14. Clique em OK.

  15. Clique em Next.

  16. Clique em Finish.

  17. A APROVAÇÃO do clique na importação era caixa bem sucedida.

Instalação ACS para usar o certificado de servidor

Conclua estes passos:

  1. No servidor ACS, escolha a configuração de sistema.

  2. Escolha a instalação do certificado ACS.

  3. Escolha instalam o certificado ACS.

  4. Escolha o certificado do uso do armazenamento.

  5. Datilografe dentro o nome do CN (o mesmo nome que foi usado em etapa 8 da criação uma seção do certificado de servidor).

  6. Clique em Submit.

  7. No servidor ACS, configuração de sistema do clique.

  8. Escolha a instalação do certificado ACS.

  9. Escolha editam o certificate trust list.

  10. Verifique a caixa para ver se há CA.

  11. Clique em Submit.

Crie e instale um certificado auto-assinado

Nota:  Esta seção aplica-se somente se você não está usando CA externo.

Conclua estes passos:

  1. No servidor ACS, clique a configuração de sistema.

  2. Clique a instalação do certificado ACS.

  3. O clique gera o certificado auto-assinado.

  4. Datilografe o assunto do certificado no do formulário. Neste exemplo, cn=ACS33 é usado. Para mais opções de configuração do certificado auto-assinado, refira a configuração de sistema: Autenticação e certificados.

  5. Datilografe o caminho cheio e o nome do certificado a ser criado na caixa do arquivo certificado. Por exemplo, c:\acscerts\acs33.cer.

  6. Datilografe o caminho cheio e o nome do arquivo-chave privado a ser criado na caixa do arquivo-chave privado. Por exemplo, c:\acscerts\acs33.pvk.

  7. Incorpore e confirme a senha da chave privada.

  8. Escolha 1024 da lista de drop-down do comprimento chave.

    Nota: Quando o ACS puder gerar os tamanhos chaves maiores de 1024, usando um chave maior de 1024 não trabalham com PEAP. A autenticação pôde parecer passar no ACS, mas o cliente pendura quando a autenticação for tentada.

  9. Do resumo a assinar com lista, escolha o resumo da mistura a ser usado para cifrar a chave. Neste exemplo, o resumo a assinar com no SHA1 é usado.

  10. Verifique o certificado gerado Install.

  11. Clique em Submit.

Gire sobre o HTTPS para sessões de administrador

Conclua estes passos:

  1. Escolha o controle de administração > a política de acesso.

  2. Verifique o transporte do uso HTTPS para ver se há a caixa de acesso da administração.

  3. Clique em Submit.

    Você deve agora poder abrir uma sessão a https://IP_of_ACS:2002. Você é alertado para um início de uma sessão.

    Nota: Você deve abrir uma sessão do admin local antes que você permita o HTTPS. Mantenha esta sessão aberta depois que você a permite. Teste a conexão com uma sessão remota de modo que se não trabalha (seja qual for a razão), você possa deselect o transporte de HTTPS para opção de Acesso de administração do uso. Uma vez que você verifica este, você pode fechar a sessão local.

    Nota:  Se você acontece se travar para fora, você pode cortar o registro para desligar o HTTPS para sessões de administrador. A fim fazer isto, você precisa de mudar a chave de registro de um valor de dois a um valor de um. Por exemplo, HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.2\CSAdmin\Config\HT TPSSupport.

Verificar

Não criam o Mensagem de Erro do objeto “CertificateAuthority.Request”

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

Conclua estes passos:

  1. Escolha o Iniciar > Ferramentas Administrativas > o IIS.

  2. Escolha sites > website padrão.

  3. Clicar com o botão direito CertSrv.

  4. Escolha propriedades.

  5. Clique o botão da configuração na seção das configurações de aplicativo da aba do diretório virtual.

  6. Clique a aba das opções.

  7. Escolha permitem o estado de sessão.

    Nota: Todas as outras opções devem ser deixadas como o padrão.

  8. Clique em OK.

  9. Clique em OK.

  10. Reinício IIS.

Se seu navegador trava com uma mensagem do controle activex do fazendo download, refira este artigo na site do microsoft: O internet explorer para de responder do “na mensagem do controle activex fazendo download” quando você tenta usar um servidor certificadoleavingcisco.com .

Carregar…

Se o estado do campo CSP “está carregando….,” certifique-se que você não está executando um firewall de software na máquina que submete o pedido. ZoneAlarm de ZoneLabs pode causar esta edição. O outro software pode igualmente causar esta edição.

Troubleshooting

Não há nenhuma informação de Troubleshooting disponível neste tempo.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 64049