安全 : 思科身份服务引擎

发布ISE的证书撤销列表在Microsoft CA服务器配置示例

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文描述运行互联网信息服务微软认证授权(CA)服务器的配置(IIS)发布证书撤销列表(CRL)更新。它也解释如何配置思科身份服务引擎(ISE) (版本1.1和以上)获取更新用于证书确认。在证书确认使用的ISE可以配置获取多种CA根证明的Crl。

注意: 贡献用贾斯廷特谢拉, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科身份服务引擎版本1.1.2.145

  • Microsoft Windows�服务器� 2008 R2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

配置

本文档使用以下配置:

  • 部分1.创建并且配置在CA的一个文件夹安置CRL文件

  • 部分2.创建IIS的一个站点显示新的控制分配点

  • 部分3.配置Microsoft CA服务器发布CRL文件到分布点

  • 部分4.验证CRL文件存在并且通过IIS是可访问

  • 部分5.配置ISE使用新的控制分配点

部分1.创建并且配置在CA的文件夹安置CRL文件

首要任务是配置CA服务器的一个位置存储CRL文件。默认情况下, Microsoft CA服务器发布文件对C:\Windows\system32\CertSrv\CertEnroll\。而不是请使用此系统文件夹,请创建文件的一新文件夹。

  1. 在IIS服务器上,请选择文件系统的一个位置并且创建新文件夹。在本例中,文件夹C:\CRLDistribution创建。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-01.gif

  2. 为了CA能必须启用把CRL文件写到新文件夹,共享。用鼠标右键单击新文件夹,选择属性,点击共享的选项卡和然后单击先进共享

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-02.gif

  3. 为了共享文件夹,请在共享Name字段检查共享此文件夹复选框然后添加美元的符号($)到共享名称的结尾隐藏共享。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-03.gif

  4. 点击权限(1),单击(2),点击对象类型(3),并且检查计算机复选框(4)。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-04.gif

  5. 为了返回对挑选用户,计算机,服务帐户或者组窗口,点击OK键。在回车对Select字段的对象名,输入CA服务器的计算机名称并且点击检查名称。如果输入的名称有效,名称刷新并且看上去加下划线。单击 Ok

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-05.gif

  6. 在组或用户名名称字段,请选择CA计算机。检查允许完全控制授权对CA.单击OK的完全权限。再点击OK键关上先进的共享的窗口和返回到属性窗口。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-06.gif

  7. 为了允许CA把CRL文件写到新文件夹,请配置适当的安全权限。点击安全选项卡(1),单击编辑(2),单击(3),点击对象类型(4),并且检查计算机复选框(5)。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-07.gif

  8. 在回车对Select字段的对象名,输入CA服务器的计算机名称并且点击检查名称。如果输入的名称有效,名称刷新并且看上去加下划线。单击 Ok

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-05.gif

  9. 在组或用户名名称字段选择CA计算机然后检查允许完全控制授权对CA.单击OK的完全权限然后单击接近完整任务。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-08.gif

部分2.创建IIS的站点显示新的控制分配点

为了ISE能访问CRL文件,请做安置CRL文件可访问通过IIS的目录。

  1. 在IIS服务器工具栏,请点击开始。选择管理工具>互联网信息服务(IIS)管理器

  2. 在左窗格中(叫作控制台结构树),请展开IIS服务器名然后展开站点。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-09.gif

  3. 用鼠标右键单击默认网站并且选择添加虚拟目录

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-10.gif

  4. 在Alias字段,请输入一站点名称对于控制分配点。在本例中, CRLD被输入。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-11.gif

  5. 在物理路径领域右边单击省略号(…)并且浏览到在创建的文件夹第1.部分精选文件夹并且点击OK键。点击OK键关上添加虚拟目录窗口。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-12.gif

  6. 应该用左窗格突出显示在步骤输入的站点名称4。否则,当前请选择它。在中心的窗格中,请双击目录浏览

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-13.gif

  7. 在右窗格中,请点击Enable (event)启用目录浏览。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-14.gif

  8. 在左窗格中,再请选择站点名称。在中心的窗格中,请双击配置编辑器

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-15.gif

  9. 在部分下拉列表中,请选择system.webServer/安全/requestFiltering。在allowDoubleEscaping的下拉列表中,请选择真。在右窗格中,请单击应用

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-16.gif

文件夹应该当前是可访问通过IIS。

部分3.配置Microsoft CA服务器发布CRL文件到分布点

即然新文件夹配置安置CRL文件,并且文件夹在IIS显示了,请配置Microsoft CA服务器发布CRL文件到新的位置。

  1. 在CA服务器工具栏,请点击开始。选择管理工具>认证机关

  2. 在左窗格中,请用鼠标右键单击CA名称。选择属性然后单击扩展选项卡。为了添加新的控制分配点,请单击添加

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-17.gif

  3. 在Location字段,请输入路径到在创建和共享的文件夹第1.部分。在第1部分的示例中,路径是:

    \\RTPAAA-DC1\CRLDistribution$\

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-18.gif

  4. 当Location字段填充,请从可变下拉列表选择<CaName>然后单击插入键。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-19.gif

  5. 从可变下拉列表,请选择<CRLNameSuffix>然后单击插入键

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-20.gif

  6. 在Location字段,请添附.crl对路径的末端。在本例中,位置是:

    \\RTPAAA-DC1\CRLDistribution$\<CaName><CRLNameSuffix>.crl
    		

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-21.gif

  7. 点击OK键返回到扩展选项卡。检查发布Crl到此位置复选框(1)然后单击OK(2)关上属性窗口。提示符出现为了权限能重新启动活动目录证书服务。点击(3)。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-22.gif

  8. 在左窗格中,右键单击取消证书。选择所有任务>发布。保证新的CRL选择然后点击OK键

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-23.gif

Microsoft CA服务器应该创建在创建的文件夹的一个新的.crl文件第1.部分。如果新的CRL文件顺利地创建将没有对话,在好后单击。如果错误关于新的分布点文件夹返回,请仔细重复在此部分的每个步骤。

部分4.验证CRL文件存在并且通过IIS是可访问

验证新的CRL文件存在,并且那他们通过从另一个工作站的IIS是可访问,在您开始此部分前。

  1. 在IIS服务器上,请打开在创建的文件夹第1.部分。应该有单个.crl文件现在用<CANAME>是CA服务器的名称的表<CANAME>.crl。在本例中,文件名是:

    rtpaaa-CA.crl

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-24.gif

  2. 从网络的一个工作站(理想地说在网络和ISE主要的Admin节点一样),请打开Web浏览器并且浏览对<SERVER>是在配置的IIS服务器服务器名第2部分的http:// <SERVER>/<CRLSITE>,并且<CRLSITE>是为的第2.部分分布点选择的站点名称。在本例中, URL是:

    http://RTPAAA-DC1/CRLD

    目录索引显示,包含文件在step1观察了。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-25.gif

部分5.配置ISE使用新的控制分配点

在ISE配置获取CRL前,请定义间隔发布CRL。确定此间隔的策略是超出本文的范围之外。潜在的值(在Microsoft CA)是1个小时到411年,包括。默认值是1周。一旦确定了您的环境的一个适当的间隔,设置与这些说明的间隔:

  1. 在CA服务器工具栏,请点击开始。选择管理工具>认证机关

  2. 在左窗格中,请展开CA.右键单击取消的证书文件夹并且选择属性。

  3. 在CRL出版物间隔字段,请输入所需数量并且选择时间。点击OK键关上窗口和应用更改。在本例中,出版物间隔7天配置。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-26.gif

    您应该当前确认几注册表值,将帮助确定在ISE的CRL检索设置。

  4. 输入certutil - getreg CA \ Clock*命令确认ClockSkew值。默认值是10分钟。

    示例输出:

    Values:
        ClockSkewMinutes        REG_DWORS = a (10)
    CertUtil: -getreg command completed successfully.
    
  5. 输入certutil - getreg CA \ CRLov*命令验证CRLOverlapPeriod是否手工设置。默认情况下CRLOverlapUnit值是0,表明手工的值未设置。除0之外,如果值是值,请记录值和单元。

    示例输出:

    Values:
        CRLOverlapPeriod      REG_SZ = Hours
        CRLOverlapUnits        REG_DWORD = 0
    CertUtil: -getreg command completed successfully.
    
  6. 输入certutil - getreg CA \ CRLpe*命令验证CRLPeriod,在步骤3.设置。

    示例输出:

    Values:
        CRLPeriod      REG_SZ = Days
        CRLUnits        REG_DWORD = 7
    CertUtil: -getreg command completed successfully.
    
  7. 计算CRL宽限期如下:

    1. 如果CRLOverlapPeriod在步骤5设置:重叠= CRLOverlapPeriod,以分钟;

      :重叠= (CRLPeriod/10),以分钟

    2. 如果重叠> 720然后重叠= 720

    3. 如果重叠< (1.5 * ClockSkewMinutes)然后重叠= (1.5 * ClockSkewMinutes)

    4. 如果重叠> CRLPeriod,在分钟然后重叠= CRLPeriod以分钟

    5. 宽限期= 720分钟+ 10分钟= 730分钟

      示例:

      As stated above, CRLPeriod was set to 7 days, or 10248 minutes and 
      CRLOverlapPeriod was not set.
      
      a. OVERLAP = (10248 / 10) = 1024.8 minutes
      b. 1024.8 minutes is > 720 minutes : OVERLAP = 720 minutes
      c. 720 minutes is NOT < 15 minutes : OVERLAP = 720 minutes
      d. 720 minutes is NOT > 10248 minutes : OVERLAP = 720 minutes
      e. Grace Period = 720 minutes + 10 minutes = 730 minutes
      

    计算的宽限期是时间在之间,当CA发布下个CRL时,并且,当当前CRL超时时。ISE需要配置相应地获取Crl。

  8. 登陆对主要的Admin节点并且选择管理>System >证书。在左窗格中,请选择证书存储

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-27.gif

  9. 在您打算配置Crl的CA证书旁边检查证书存储复选框。单击 Edit

  10. 在窗口的底部附近,请检查下载CRL复选框。

  11. 在CRL分类的URL字段,请输入路径对控制分配点,包含.crl文件,创建在第2.部分。在本例中, URL是:

    http://RTPAAA-DC1/CRLD/rtpaaa-ca.crl
  12. ISE可以配置定期获取CRL或根据,一般来说,也是固定间隔)的有效期(。当CRL发布时间隔是静态,更加及时的CRL更新获取,当使用时更加更高的选项。自动地单击单选按钮。

  13. 少于在步骤计算的宽限期设置检索的值为值7。如果值集比宽限期长, ISE检查控制分配点,在CA发布下个CRL前。在本例中,宽限期计算是730分钟或者12个小时和10分钟。值10个小时将使用检索。

  14. 设置重试间隔如适当为您的环境。如果ISE不能获取CRL在上一步的配置的时间间隔,将再试在此更短的间隔。

  15. 请检查旁路CRL验证,如果CRL不是允许基于认证的验证的接收的复选框通常继续(和没有CRL检查),如果ISE无法获取此CA的CRL在其最后下载尝试。如果此复选框没有被检查,与此CA发出的证书的所有基于认证的验证将发生故障,如果CRL不可能获取。

  16. 检查忽略CRL不是有效或已到期复选框允许ISE使用已到期(或没有效) CRL文件,好象他们有效。如果此复选框没有被检查, ISE认为CRL无效在他们的有效日期之前和在他们的下一次更新时间之后。点击“Save”完成配置。

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115758-cert-rev-lists-28.gif

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。


相关信息


Document ID: 115758