安全 : 用于 Windows 的思科安全访问控制服务器

使用SSL证书服务配置的启用HTTPS的Cisco Secure ACS Admin会话

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 15 日) | 反馈


目录


简介

默认情况下,Cisco 安全访问控制服务器 (ACS) 对其管理会话使用 HTTP。本示例配置讨论:

  • 使用访问的Cisco Secure ACS HTML界面HTTPS

  • (要求的身份验证配置,在您能启用HTTPS)前

本文最初写入适应证书创建与微软认证授权(CA),但是更新的添加步骤为使用签署证书,自ACS 3.3支持。因为外部CA没有要求,使用签署证书显著地简化设置。

注意: 如果希望使用签署证书,请去创建并且安装本文的自签名证书(只有当不使用外部CA)部分。

注意: 如果使用外部供应商证书服务,请务必您从供应商获取您的Web服务器的适当的证书类似Verisign。另外证书也许为Microsoft IIS和Apache提供。

先决条件

要求

您应该在启用HTTPS前开始一本地admin会话。在您启用它后,请保持此会话开放。测试与远程会话的连接,以便,如果不工作(无论什么原因),您能取消选定管理访问选项的使用HTTPS传输。一旦验证此,您能关闭本地会话。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • ACS 3.1.1或以上需要的

  • Microsoft CA服务器

  • 互联网信息服务器(IIS) (必须安装,在您安装CA)前

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

步骤

在此部分,您提交以信息安装Microsoft CA服务器。

安装 Microsoft 证书 (CA) 服务器

完成这些步骤:

  1. 选择开始 > 设置 > 控制面板

  2. 在控制面板中,打开添加/删除程序

  3. 在添加/删除程序,请选择添加/删除Windows组件

  4. 选择证书服务

  5. 单击 Next

  6. 对 IIS 消息单击

  7. 选择一个独立(或企业)根 CA。

  8. 单击 Next

  9. 为该 CA 命名。

    注意: 所有其他框都是可选的。

    注意: 不要为 CA 指定与 ACS 服务器相同的名称。这可能导致 PEAP 客户端身份验证失败,因为当找到与服务器证书同名的根 CA 证书时,这些客户端会分不清这二者。此问题并非 Cisco 客户端独有。如果不计划使用PEAP,这不应用。

  10. 单击 Next

  11. 数据库默认设置正确。

  12. 单击 Next

    在安装 CA 前,必须安装 IIS。

创建服务器证书

完成这些步骤:

  1. 从 ACS 服务器浏览到 CA (http://IP_of_CA_server/certsrv/)。

  2. 选中 Request a certificate 框。

  3. 单击 Next

  4. 选择 Advanced request

  5. 单击 Next

  6. 选择 Submit a certificate request to this CA using a form

  7. 单击 Next

  8. 在命名(CN)方框中键入名称。

  9. 选择 Server Authentication Certificate 作为预期目的。

    注意: 如果使用企业CA,请从第一张下拉列表选择Web服务器

  10. 在 Key Option 部分下,选择以下参数以创建新模板:

    • CSP —微软Base Cryptographic供应者v1.0

    • 密钥大小— 1024

      注意: 证书创建与极大密钥大小比1024也许为HTTPS工作,但是不为PEAP工作。

      注意: Windows 2003 企业 CA 允许密钥大小大于 1024,但使用大于 1024 的密钥不适用于 PEAP。验证在ACS也许看上去通过,但是客户端暂停,当验证尝试时。

    • Keys as Exportable

      注意: Microsoft 已在 Windows 2003 企业 CA 发行版中更改 Web 服务器模板。此模板更改后,密钥不再可导出,该选项将变灰。没有随证书服务一起提供其他证书模板用于服务器身份验证或在下拉菜单中提供将密钥标记为可导出的功能。要创建一个可实现此功能的新模板,请参阅创建新证书模板部分。

    • Use Local Machine Store

    注意: 其他所有选项都应保留为默认值。

  11. 单击 submit

  12. 此时应该会收到以下消息:您的证书请求已收到。

创建新证书模板

完成这些步骤:

  1. 选择 Start > Run > certmpl.msc

  2. 右键单击 Web Server template

  3. 选择 Duplicate Template

  4. 为该模板命名,例如 ACS。

  5. 单击 Request Handling 选项卡。

  6. 选择 Allow private key to be exported

  7. 单击 CSPs 按钮。

  8. 选择 Microsoft Base Cryptographic Provider v1.0

  9. 单击 Ok

    注意: 其他所有选项都应保留为默认值。

  10. 单击 Apply

  11. 单击 Ok

  12. 打开 CA MMC 管理单元。

  13. 右键单击 Certificate Templates

  14. 选择新>发行的认证模板

  15. 选择您创建的新模板。

  16. 单击 Ok

  17. 重新启动 CA。

    新模板包含在 Certificate Template 下拉列表中。

批准来自 CA 的证书

完成这些步骤:

  1. 选择 Start > Programs > Administrative Tools > Certificate Authority

  2. 在左侧窗格中展开证书。

  3. 选择 Pending Requests

  4. 右键单击该证书。

  5. 选择所有任务

  6. 选择 Issue

将服务器证书下载到 ACS 服务器

完成这些步骤:

  1. 从 ACS 服务器浏览到 CA (http://IP_of_CA_server/certsrv/)。

  2. 选择 Check on a Pending Certificate

  3. 单击 Next

  4. 选择证书。

  5. 单击 Next

  6. 单击 Install

在 ACS 服务器上安装 CA 证书

注意: 如果将 ACS 和 CA 安装在同一服务器上,则不需要完成这些步骤。

    完成这些步骤:

  1. 从 ACS 服务器浏览到 CA (http://IP_of_CA_server/certsrv/)。

  2. 选择 Retrieve the CA certificate or certificate revocation list

  3. 单击 Next

  4. 选择 Base 64 encoded

  5. 单击下载 CA 证书

  6. 单击 Open(打开)。

  7. 单击 Install Certificate

  8. 单击 Next

  9. 选择 Place all certificates in the following store

  10. 单击浏览

  11. 选中显示物理存储区框。

  12. 在左侧窗格中,展开 Trusted root certification authorities

  13. 选择 Local Computer

  14. 单击 Ok

  15. 单击 Next

  16. 单击 完成

  17. 在指示导入成功的框中,单击 OK

设置ACS使用服务器证书

完成这些步骤:

  1. 在 ACS 服务器上,选择 System Configuration

  2. 选择 ACS Certificate Setup

  3. 选择 Install ACS Certificate

  4. 选择 Use certificate from storage

  5. 键入 CN 名称(与创建服务器证书部分中步骤 8 所用的名称相同)。

  6. 单击 submit

  7. 在 ACS 服务器上,单击 System Configuration

  8. 选择 ACS Certificate Setup

  9. 选择 Edit Certificate Trust List

  10. 选中 CA 复选框。

  11. 单击 submit

创建并安装自签名证书

注意: 仅当未使用外部 CA 时,才适用此部分。

完成这些步骤:

  1. 在 ACS 服务器上,单击 System Configuration

  2. 单击 ACS Certificate Setup

  3. 单击 Generate Self-signed Certificate

  4. 以 cn=XXXX 的格式键入证书主题。在本示例中,使用 cn=ACS33。有关自签名证书配置选项的详细信息,请参阅系统配置:身份验证和证书中的“身份验证配置选项”。

  5. 键入要在 Certificate file 框中创建的证书的完整路径和名称。例如,c:\acscerts\acs33.cer。

  6. 键入要在 Private key file 框中创建的私钥文件的完整路径和名称。例如,c:\acscerts\acs33.pvk。

  7. 输入私钥口令并确认它。

  8. 从 key length 下拉列表中选择 1024

    注意: 虽然 ACS 可以生成大于 1024 的密钥大小,但使用大于 1024 的密钥不适用于 PEAP。身份验证看上去可能已在 ACS 中通过,但当尝试身份验证时,客户端将挂起。

  9. 从 Digest to sign with 列表中,选择用于对密钥进行加密的哈希摘要。在本示例中,使用要用于在 SHA1 中签名的摘要。

  10. 选中 Install generated certificate

  11. 单击 submit

打开Admin的塞申斯HTTPS

完成这些步骤:

  1. 选择管理控制>Access策略

  2. 检查使用HTTPS传输管理访问方框。

  3. 单击 submit

    您应该当前能开始会话到https://IP_of_ACS:2002。提示对于登录。

    注意: 在您启用HTTPS前,您应该开始一本地admin会话。在您启用它后,请保持此会话开放。测试与远程会话的连接,以便,如果不工作(无论什么原因),您能取消选定管理访问选项的使用HTTPS传输。一旦验证此,您能关闭本地会话。

    注意: 如果偶然锁定,您能删改注册关闭admin会话的HTTPS。为了执行此,您需要更改从值的注册表项为两到值为一个。例如, HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.2\CSAdmin\Config\HT TPSSupport。

验证

失败创建‘CertificateAuthority.Request’对象错误消息

本部分所提供的信息可用于确认您的配置是否正常工作。

完成这些步骤:

  1. 选择开始 > 管理工具 > IIS

  2. 选择 Web Sites > Default Web Site

  3. 右键单击 CertSrv

  4. 选择属性。

  5. 在“虚拟目录”选项卡的“应用程序设置”部分中单击配置按钮。

  6. 单击 Options 选项卡。

  7. 选择 Enable session state

    注意: 其他所有选项都应保留为默认值。

  8. 单击 Ok

  9. 单击 Ok

  10. 重新启动 IIS。

如果您的浏览器锁定并显示“正在下载 ActiveX 控件”消息,请参阅 Microsoft 网站上的以下文章:在您尝试使用证书服务器时,Internet Explorer 停止响应并显示“正在下载 ActiveX 控件”消息leavingcisco.com

装载…

如果CSP字段状态“装载….”,请确保不运行在计算机的一软件防火墙提交请求的您。ZoneLabs' ZoneAlarm能导致此问题。其它软件能也导致此问题。

故障排除

没有故障排除信息联机此时。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 64049