Sécurité : Cisco Secure Access Control Server pour Windows

Configuration de l'activation de HTTPS avec les services de certificat SSL pour les sessions d'administration Cisco Secure ACS

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Par défaut, le Cisco Secure Access Control Server (ACS) utilise le HTTP pour ses sessions administratives. Cette configuration d'échantillon discute :

  • utilisation de HTTPS pour accéder à l'interface HTML de Cisco Secure ACS

  • configuration de certificat (qui est exigée avant que vous puissiez activer HTTPS)

Ce document a été initialement écrit pour faciliter des Certificats créés avec un Microsoft Certificate Authority (CA), mais a été mis à jour pour ajouter des étapes pour l'usage d'un certificat de auto-signature, qui est pris en charge en date d'ACS 3.3. L'utilisation d'un certificat de auto-signature rationalise l'installation considérablement parce que le CA externe n'est pas exigé.

Remarque: Si vous souhaitez utiliser un certificat de auto-signature, aller à la création et installer la section Auto-signée de certificat (seulement sinon utilisant un CA externe) de ce document.

Remarque: Si vous utilisez des services extérieurs de certificat de constructeur, soyez sûr que vous obtenez le certificat approprié pour votre web server des constructeurs comme Verisign. Différents Certificats pourraient être offerts pour Microsoft IIS et Apache.

Conditions préalables

Conditions requises

Vous devriez ouvrir une session locale d'admin avant d'activer HTTPS. Maintenez cette session ouverte après que vous l'activiez. Testez la connexion avec une session distante de sorte que si cela ne fonctionne pas (pour quelque raison que ce soit), vous puissiez désélectionner le transport de l'utilisation HTTPS pour l'option d'Access de gestion. Une fois que vous avez vérifié ceci, vous pouvez clôturer la session locale.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • ACS 3.1.1 ou plus tard requis

  • Serveur de Microsoft CA

  • Internet Information Server (IIS) (doit être installé avant que vous installiez le CA)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Procédures

Dans cette section, vous êtes présenté avec les informations pour installer le serveur de Microsoft CA.

Installez le serveur du certificat de Microsoft (CA)

Procédez comme suit :

  1. Choisissez le début > les configurations > le panneau de configuration.

  2. À l'intérieur du panneau de configuration, ouvrez l'Add/Remove Programs.

  3. Dans l'Add/Remove Programs, Add/Remove Windows Components choisi.

  4. Choisissez les services de certificat.

  5. Cliquez sur Next (Suivant).

  6. Clic oui au message IIS.

  7. Choisissez une racine autonome (ou entreprise) CA.

  8. Cliquez sur Next (Suivant).

  9. Nommez le CA.

    Remarque: Toutes les autres cases sont facultatives.

    Remarque: Avoid donnant au CA la même chose nomment en tant que serveur ACS. Ceci peut faire échouer les clients PEAP authentification parce qu'ils deviennent confus quand un certificat de CA de racine est trouvé avec le même nom que le certificat de serveur. Ce problème n'est pas seul aux clients de Cisco. Si vous ne prévoyez pas d'utiliser le PEAP, ceci ne s'applique pas.

  10. Cliquez sur Next (Suivant).

  11. Le par défaut de base de données est correct.

  12. Cliquez sur Next (Suivant).

    IIS doit être installé avant que vous installiez le CA.

Créez un certificat de serveur

Procédez comme suit :

  1. De votre serveur ACS, parcourez au CA (http://IP_of_CA_server/certsrv/).

  2. Cochez la demande une case de certificat.

  3. Cliquez sur Next (Suivant).

  4. Choisissez la demande avancée.

  5. Cliquez sur Next (Suivant).

  6. Choisissez soumettent une demande de certificat à ce CA utilisant une forme.

  7. Cliquez sur Next (Suivant).

  8. Introduisez un nom dans la case du nom (NC).

  9. Pour le but visé, choisissez le certificat d'authentification de serveur.

    Remarque:  Si vous utilisez l'entreprise CA, choisissez le serveur Web de la première liste déroulante.

  10. Choisissez ces derniers sous l'option principale de créer un nouveau modèle :

    • CSP — Microsoft Base Cryptographic Provider v1.0

    • Taille de clé — 1024

      Remarque: Les Certificats créés avec une taille de clé plus grande que 1024 pourraient fonctionner pour HTTPS mais ne fonctionnent pas pour le PEAP.

      Remarque: L'entreprise CA de Windows 2003 permet des tailles de clé plus grandes que 1024, mais utilisation d'un principal plus en grande partie que 1024 ne fonctionne pas avec le PEAP. L'authentification pourrait sembler passer dans ACS, mais le client s'arrête juste tandis que l'authentification est tentée.

    • Clés comme exportables

      Remarque: Microsoft a changé le modèle de serveur Web avec la release de l'entreprise CA de Windows 2003. Avec cette modification de modèle, les clés ne sont plus exportables, et l'option est greyed. Il n'y a aucun autre modèle de certificat fourni avec des services de certificat qui sont pour l'authentification de serveur, ou qui donnent la capacité de marquer des clés comme exportables dans le menu déroulant. Afin de créer un nouveau modèle qui fait ainsi, voir la création par nouvelle section de modèle de certificat.

    • Mémoire d'ordinateur local d'utilisation

    Remarque: Tous autres choix devraient être laissés en tant que par défaut.

  11. Cliquez sur Submit.

  12. Vous devriez recevoir ce message : Votre demande de certificat a été reçue.

Créez un nouveau modèle de certificat

Procédez comme suit :

  1. Choisissez le Start > Run > le certmpl.msc.

  2. Modèle de serveur Web de clic droit.

  3. Choisissez le modèle en double.

  4. Donnez au modèle un nom, tel qu'ACS.

  5. Cliquez sur l'onglet de manipulation de demande.

  6. Choisissez permettent la clé privée à exporter.

  7. Cliquez sur le bouton de CSPs.

  8. Choisissez Microsoft Base Cryptographic Provider v1.0.

  9. Cliquez sur OK.

    Remarque: Toutes autres options devraient être laissées en tant que par défaut.

  10. Cliquez sur Apply.

  11. Cliquez sur OK.

  12. Ouvrez le CA MMC SNAP-dans.

  13. Modèles de certificat de clic droit.

  14. Choisissez nouveau > modèle de certificat à émettre.

  15. Choisissez le nouveau modèle que vous avez créé.

  16. Cliquez sur OK.

  17. Redémarrez le CA.

    Le nouveau modèle est inclus dans la liste déroulante de modèle de certificat.

Approuvez le certificat du CA

Procédez comme suit :

  1. Choisissez le Start > Programs > Administrative tools > l'autorité de certification.

  2. Sur la vitre gauche, développez le certificat.

  3. Choisissez en attendant des demandes.

  4. Clic droit sur le certificat.

  5. Choisissez toutes les tâches.

  6. Choisissez la question.

Téléchargez le certificat de serveur au serveur ACS

Procédez comme suit :

  1. De votre serveur ACS, parcourez au CA (http://IP_of_CA_server/certsrv/).

  2. Choisissez le contrôle sur un certificat en attente.

  3. Cliquez sur Next (Suivant).

  4. Sélectionnez le certificat.

  5. Cliquez sur Next (Suivant).

  6. Cliquez sur Install.

Installez le certificat de CA sur le serveur ACS

Remarque: Ces étapes ne sont pas exigées si ACS et le CA sont installés sur le même serveur.

    Procédez comme suit :

  1. De votre serveur ACS, parcourez au CA (http://IP_of_CA_server/certsrv/).

  2. Choisissez récupèrent le certificat de CA ou la liste des révocations de certificat.

  3. Cliquez sur Next (Suivant).

  4. Choisissez la base 64 encodée.

  5. Cliquez sur Download CA certificate.

  6. Cliquez sur Open.

  7. Le clic installent le certificat.

  8. Cliquez sur Next (Suivant).

  9. Choisissez l'endroit tous les Certificats dans la mémoire suivante.

  10. Cliquez sur Browse.

  11. Cochez la case physique de mémoires d'exposition.

  12. Sur la vitre gauche, développez les Autorités de certification racine approuvée.

  13. Choisissez l'ordinateur local.

  14. Cliquez sur OK.

  15. Cliquez sur Next (Suivant).

  16. Cliquez sur Finish (Terminer).

  17. Cliquez sur OK sur l'importation était case réussie.

Installation ACS pour utiliser le certificat de serveur

Procédez comme suit :

  1. Sur le serveur ACS, choisissez la configuration système.

  2. Choisissez l'installation de certificat ACS.

  3. Choisissez installent le certificat ACS.

  4. Choisissez le certificat d'utilisation de la mémoire.

  5. Introduisez dedans le nom NC (le même nom qui a été utilisé dans l'étape 8 de la création par section de certificat de serveur).

  6. Cliquez sur Submit.

  7. Sur le serveur ACS, configuration de système de clic.

  8. Choisissez l'installation de certificat ACS.

  9. Choisissez éditent la liste de confiance de certificat.

  10. Cochez la case pour le CA.

  11. Cliquez sur Submit.

Créez et installez un certificat Auto-signé

Remarque:  Cette section s'applique seulement si vous n'utilisez pas un CA externe.

Procédez comme suit :

  1. Sur le serveur ACS, configuration système de clic.

  2. Installation de certificat du clic ACS.

  3. Certificat Auto-signé Generate de clic.

  4. Tapez le sujet de certificat dans le de forme. Dans cet exemple, cn=ACS33 est utilisé. Pour plus d'options de configuration auto-signées de certificat, référez-vous à la configuration système : Authentification et Certificats.

  5. Introduisez le chemin d'accès complet et le nom du certificat à créer dans la case de fichier du certificat. Par exemple, c:\acscerts\acs33.cer.

  6. Introduisez le chemin d'accès complet et le nom du fichier principal privé à créer dans la case privée de fichier principal. Par exemple, c:\acscerts\acs33.pvk.

  7. Entrez et confirmez le mot de passe de clé privée.

  8. Choisissez 1024 de la liste déroulante de longueur principale.

    Remarque: Tandis que l'ACS peut générer des tailles de clé plus grandes que 1024, utilisant un principal plus en grande partie que 1024 ne fonctionne pas avec le PEAP. L'authentification pourrait sembler passer dans ACS, mais le client s'arrête tandis que l'authentification est tentée.

  9. Du condensé à signer avec la liste, choisissez le condensé d'informations parasites à utiliser pour chiffrer la clé. Dans cet exemple, le condensé à signer avec à SHA1 est utilisé.

  10. Certificat généré Install de contrôle.

  11. Cliquez sur Submit.

Activez HTTPS pour des sessions d'admin

Procédez comme suit :

  1. Choisissez le contrôle de gestion > la stratégie d'Access.

  2. Cochez le transport de l'utilisation HTTPS pour la case d'Access de gestion.

  3. Cliquez sur Submit.

    Vous devriez maintenant pouvoir ouvrir une session à https://IP_of_ACS:2002. Vous êtes incité pour une procédure de connexion.

    Remarque: Vous devriez ouvrir une session locale d'admin avant que vous activiez HTTPS. Maintenez cette session ouverte après que vous l'activiez. Testez la connexion avec une session distante de sorte que si cela ne fonctionne pas (pour quelque raison que ce soit), vous puissiez désélectionner le transport de l'utilisation HTTPS pour l'option d'Access de gestion. Une fois que vous vérifiez ceci, vous pouvez clôturer la session locale.

    Remarque:  Si vous vous avérez justement se verrouiller, vous pouvez entailler le registre pour arrêter HTTPS pour des sessions d'admin. Afin de faire ceci, vous devez changer la clé de registre d'une valeur de deux à une valeur d'une. Par exemple, HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.2\CSAdmin\Config\HT TPSSupport.

Vérifiez

Pour créer le message d'erreur d'objet « CertificateAuthority.Request »

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

Procédez comme suit :

  1. Choisissez le début > les outils d'administration > l'IIS.

  2. Choisissez les sites Web > le site Web de par défaut.

  3. Clic droit CertSrv.

  4. Choisissez Properties.

  5. Cliquez sur le bouton configuration dans la section de configurations d'application de l'onglet de répertoire virtuel.

  6. Cliquez sur l'onglet d'options.

  7. Choisissez Enable l'état de session.

    Remarque: Toutes autres options devraient être laissées en tant que par défaut.

  8. Cliquez sur OK.

  9. Cliquez sur OK.

  10. Reprise IIS.

Si votre navigateur verrouille avec un ActiveX le téléchargeant de message de contrôle, référez-vous à cet article sur le site Web de Microsoft : L'Internet Explorer cesse de répondre au message « de contrôle ActiveX de téléchargement » quand vous essayez d'utiliser un serveur de certificatleavingcisco.com .

Chargement…

Si l'état de champ CSP « charge…., » assurez-vous que vous n'exécutez pas un pare-feu logiciel sur l'ordinateur soumettant la demande. Le ZoneAlarm de ZoneLabs peut entraîner cette question. L'autre logiciel peut également entraîner cette question.

Dépannez

Il n'y a aucune information de dépannage disponible à ce moment.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 64049