安全 : Cisco Identity Services Engine Software

配置ISE SCEP集成的HTTPS支持

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述要求的步骤配置Secure证书登记协议(SCEP)集成的超文本传输协议安全(HTTPS)支持用身份服务引擎(ISE)。

贡献用托德普拉和西尔万Levesque, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • Microsoft的互联网信息服务(IIS) Web服务器基础知识
  • 体验在SCEP和证书的配置里在ISE

使用的组件

本文档中的信息基于以下软件和硬件版本:

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

对Microsoft证书服务提供相关的信息,当一个指南思科的特别地带来您自己的设备(BYOD)。参考的Microsoft的TechNet作为真相明确来源Microsoft证书颁发机构、网络设备登记服务(NDES)和SCEP的涉及服务器配置。

 

背景信息

在BYOD部署,其中一核心组件是有安装的NDES角色的Microsoft 2008 R2企业服务器。 此服务器是激活目录(AD)森林的成员。 在NDES时初始安装, Microsoft的IIS Web服务器自动地安装并且配置支持SCEP的HTTP终端。 使用HTTPS,在一些BYOD部署,客户也许要进一步巩固ISE和NDES之间的通信。 此步骤选派要求的步骤请求和安装SCEP网站的一安全套接字层SSL证书。

配置

NDES服务器证书配置

注意: 您必须配置IIS的一新证书(只要求,当IIS集成与第三方PKI例如Verisign时或,当认证机构(CA)和NDES服务器角色被分离在独立服务器上)时。在安装,如果NDES角色在一个当前Microsoft CA服务器, IIS使用在CA设置期间创建的服务器身份证书。 对于独立配置例如此,请跳到直接地在本文的NDES服务器IIS绑定的配置部分

  1. 连接到NDES服务器通过控制台或RDP。
  2. 点击Start > Administrative Tools - >互联网信息服务(IIS)管理器
  3. 突出显示IIS服务器名并且点击服务器证书图标。

  4. 点击Create证书请求,并且填入字段。

  5. 打开在与文本编辑的上一步创建的.cer文件并且复制内容对剪贴板。

  6. 访问Microsoft CA Web登记网站并且点击请求证书

    示例URL :http://yourCAIP/certsrv


  7. 单击提交证书请求通过使用….粘贴在从剪贴板的证书内容,并且选择Web服务器模板。

  8. 单击提交然后保存证书文件到桌面。
  9. 返回到NDES服务器并且打开utilty IIS的管理器。点击服务器名然后单击完整证书请求为了导入新建立的服务器证书。

NDES服务器IIS绑定配置

  1. 展开服务器名,展开站点,点击默认网站
  2. 点击在右上角的捆绑
  3. 单击添加,更改Typeto HTTPS,并且从下拉列表选择证书。
  4. 单击 Ok

 

ISE服务器配置

  1. 连接对CA服务器的Web登记接口并且下载CA证书一系列。

  2. 从ISE GUI,请导航对管理- >证书- >证书存储并且导入CA证书一系列到ISE存储。

  3. 导航对管理- >证书- > SCEP CA配置文件并且配置HTTPS的URL。点击测验连接然后单击“Save”

验证

使用本部分可确认配置能否正常运行。

  • 导航对管理- >证书- >证书Storeand验证CA证书一系列和NDES服务器注册机关(RA)证书存在。
  • 请使用Wireshark或TCP转储监控在ISE admin节点和NDES服务器之间的初始SSL交换。

命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。

故障排除

本部分提供的信息可用于对配置进行故障排除。

  • 为逻辑小站划分BYOD网络拓扑为了帮助识别调试和捕获沿路径的点这些终端之间- ISE、NDES和CA。
  • 保证TCP 443允许双向在ISE和NDES服务器之间。
  • 监控注册错误的CA和NDES服务器应用日志并且请使用谷歌或TechNet研究那些错误。
  • 请使用在ISE PSN的TCP转储工具并且到/从NDES服务器监控流量。这查找在操作>诊断工具>General下工具
  • 安装在NDES服务器的Wireshark或在中介交换机的使用SPAN为了到/从ISE PSN捕获SCEP流量。

命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

相关信息



Document ID: 116238