Segurança : Cisco Identity Services Engine Software

Configurar o apoio HTTPS para a integração ISE SCEP

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve as etapas exigidas configurar o apoio seguro do protocolo de transferência de hipertexto (HTTPS) para a integração segura do protocolo do certificado de registro (SCEP) com o Identity Services Engine (ISE).

Contribuído por Pula de Todd e por Silvano Levesque, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conhecimento básico do servidor de Web do Internet Information Services de Microsoft (IIS)
  • Experiência na configuração do SCEP e em Certificados no ISE

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • O ISE libera 1.1.x
  • Empresa R2 de Windows Server 2008 com os hotfix para KB2483564KB2633200 instalados

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

O relativo à informação aos serviços certificados de Microsoft é fornecido como guia especificamente para Cisco Bring Your Own Device (BYOD). Refira TechNet de Microsoft como a fonte definitiva de verdade para a autoridade de certificação de Microsoft, o serviço do registro do dispositivo de rede (NDE), e configurações do servidor relativas SCEP.

 

Informações de Apoio

Em um desenvolvimento BYOD, um dos componentes centrais é um servidor de empreendimento R2 de Microsoft 2008 que tenha o papel NDE instalado.  Este server é um membro da floresta do diretório ativo (AD).  Durante a instalação inicial dos NDE, o servidor de Web IIS de Microsoft automaticamente é instalado e configurado para apoiar a terminação HTTP do SCEP.  Em disposições algum BYOD, os clientes puderam querer fixar mais as comunicações entre o ISE e os NDE usando o HTTPS.  Este procedimento detalha as etapas exigidas para pedir e instalar um certificado do Secure Socket Layer (SSL) para o Web site SCEP.

Configurar

Configuração do certificado de servidor NDE

Nota:  Você deve configurar um certificado novo para o IIS (exigido somente quando o IIS está integrado com uma 3ª parte PKI tal como Verisign ou quando o Certification Authority (CA) e os papéis do servidor NDE estão separados em servidores separados). Na instalação, se o papel NDE está em um Microsoft CA server atual, o IIS usa o certificado de identidade do server criado durante a instalação de CA.  Para configurações independente tais como isto, salte diretamente à seção de configuração obrigatória do server IIS NDE neste documento.

  1. Conecte aos NDE o server através do console ou do RDP.
  2. Iniciar > Ferramentas Administrativas do clique - > gerente do Internet Information Services (IIS).
  3. Destaque o nome de servidor IIS e clique o ícone dos certificados de servidor.

  4. Clique sobre o pedido do certificado Create, e termine os campos.

  5. Abra o arquivo de .cer criado na etapa precedente com um editor de texto e copie o índice à prancheta.

  6. Alcance o Web site do registro da Web de Microsoft CA e clique o pedido um certificado.

    Exemplo URL: http://yourCAIP/certsrv


  7. O clique submete um pedido do certificado usando…. A pasta no índice do certificado da prancheta, e escolhe o molde do servidor de Web.

  8. Clique submetem e salvar então o arquivo certificado ao desktop.
  9. Retorne ao server NDE e abra o gerenciador de IIS utilty. Clique sobre o nome do servidor e clique então o pedido do certificado completo a fim importar o certificado de servidor recém-criado.

Configuração obrigatória do server IIS NDE

  1. Expanda o nome do servidor, expanda locais, website padrão do clique.
  2. Clique emperramentos no canto superior direito.
  3. O clique adiciona, muda o Typeto HTTPS, e escolhe o certificado da lista de drop-down.
  4. Clique em OK.

 

Configuração do servidor ISE

  1. Conecte à relação do registro da Web do server de CA e transfira a corrente de certificado de CA.

  2. Do ISE GUI, navegue à administração - > Certificados - > loja do certificado e importe a corrente de certificado de CA na loja ISE.

  3. Navegue à administração - > Certificados - > perfis SCEP CA e configurar a URL para o HTTPS. Clique a Conectividade do teste e clique então a salvaguarda.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

  • Navegue à administração - > Certificados - > certificado Storeand verificam que a corrente de certificado de CA e o certificado da autoridade de Registro de Servidor NDE (RA) estam presente.
  • Use Wireshark ou descarga TCP para monitorar a troca inicial SSL entre o nó ISE admin e o server NDE.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

  • Divida a topologia de rede BYOD em pontos intermediários lógicos a fim ajudar a identificar debugam e capturam pontos ao longo do trajeto entre estes valores-limite - ISE, NDE, e CA.
  • Assegure-se de que o TCP 443 esteja permitido bidirecional entre o ISE e o server NDE.
  • Monitore logs do aplicativo de servidor de CA e NDE para erros de registro e use Google ou TechNet para pesquisar aqueles erros.
  • Use a utilidade da descarga TCP no ISE PSN e monitore o tráfego a e do server NDE. Isto é ficado situado sob operações > ferramentas de diagnóstico > ferramentas gerais.
  • Instale Wireshark no server NDE ou use o PERÍODO no Switches intermediário a fim capturar o tráfego SCEP a e do ISE PSN.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116238