セキュリティ : Cisco NAC アプライアンス(Clean Access)

NAC Profiler への SSL 証明書のインポート

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

HTTPS によって動作されるプロファイラー ユーザインターフェイスにアクセスのために接続すると同時に Cisco NAC Profiler サーバの組み込み Webサーバの信頼性がブラウザによって確認することができるようにプロファイラー システム Webベース UI はデジタル証明書を使用できます。 システムは Webサーバの相互対話は、実際、およびセキュアそれの通信信頼されることユーザがセキュアに感じるように SSL Webサーバは確実であること Webブラウザが検証する PKI およびデジタル証明書のもっとも一般的なアプリケーションの 1 つを活用 します。 これは SSL を使用する多くの型の Webサイトが付いている e- コマースおよび他のセキュアコミュニケーションを保護するのに今日使用する同じメカニズムです。

プロファイラー システムは UI への信頼される内蔵 SSL Webサーバの確認のない割り当てアクセス「自己署名」デジタル認証と出荷します。 デフォルト認証が環境仕様属性で、サーバ名のような作成される 1 つと取り替えられ認証局 (CA)によって署名するまで、プロファイラー UI ディスプレイにこの例と同じような警告アクセスする Webブラウザは信頼できるサイトとしてブラウザは認証を発行し、ない CA を認識しないことを示すそれを確認します。

/image/gif/paws/107726/import-ssl-nac-1.gif

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • NAC サーバ

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

主 タスク: 証明書のインストール

ほとんどのブラウザはユーザが煩わしい場合もある接続を続けるために追加入力を提供するように要求します。

デジタル証明書の使用によるプロファイラー インターフェイスの SSL セキュリティ用の強化されたセキュリティをフルに利用するために、NPS の SSL サブシステム設定への変更を行う必要があります。 デフォルトで使用する信頼された認証局によって発行されるそれらとシステムによってインストールに特定であり、それらの変更はプライベートキーおよびデジタル認証の置換を必要とします。 このプロシージャの後で、ブラウザはサーバの HTTPS セッションを始め、UI ログイン プロセスに認証警告をバイパスするためにユーザをすぐに連れて行きます。

2 つのオプション

NPS システムにこれのための 2 代替があります:

1. 使用される NPS サーバシステムおよび PC で Web UI によってシステムを管理するのにインストールすることができる署名入り認証を生成するのにアプライアンスで OpenSSL ツールキット常駐員を利用して下さい。

このオプションは現在 内部 CA がないし、ほとんどの商業ブラウザによって自動的に認識される署名されたデジタル認証を提供するために料金を満たす商業 CA プロバイダに頼らないことを選択するために環境に使用することができます。

2. 使用のための使用可能な戻す、内部か外部コマーシャル CA サービスに入るシステムで NPS システムのための証明書署名要求を、署名されたデジタル認証を生成するのに OpenSSL ツールキットを使用して下さい。

それは一般的に特定の環境で使用するオプション判断をするためにプロファイラー システムがインストールされている組織の内部 保全 ポリシーの関係です。 両方のオプションのための詳細な使用説明書はこの 文書 の 残りで提供されます。

オプション 1: サインを生成するのに Beacon/NPS の OpenSSL ツールキットを使用して下さい

説明されているプロシージャを始める前に企業名サービスを利用するためにプロファイラー システムが正しく設定されること、そしてシステムに完全修飾ドメイン名 (FQDN)があること DNS エントリがそのような物に作成されることを確認することは重要です。 UI に参照するときシステム(すなわち、https://beacon.bspruce.com/beacon) (か HA システムの場合には URL の IP アドレスの代りの VIP)の FQDN のプロファイラー システムの UI セッションを開けることをこれが事実であることを確認するために、確認して下さい。

このプロシージャはケースで署名のために以外アプライアンス CA に CSR を入れることを望まないとき使用されます。 このプロシージャはアプライアンスの OpenSSL ツールキットが付いている署名入り認証の作成を専ら可能にしますプロファイラー システムのための署名入り認証を生成するために-何も別のシステムか商業 CA に入る必要がありません。

このプロシージャの成功は規定 されるようにそれに続いた上で依存しています。 コマンド構文は長く、エラーを起こしやすいです。 コマンドを実行する前に手順で指定どおりに正しいディレクトリにあるようにして下さい。 CA 認証および証明書署名要求のために、国、状態、都市、サーバ名、等のような生成される DN のための情報は(大文字/小文字の区別がある)全く同じに入力する必要がありましたり、従ってあなたとしてメモにプロセスがスムーズに行くようをするためにステップを完了させます確かめます。

  1. SSH かコンソール セッションを NPS アプライアンスに始め、ルートアクセスに上げて下さい。 HA システムに関しては、プライマリ システムに VIP ことをに SSH の開始によってあるようにして下さい。

    OpenSSL をはじめて使用する前に、OpenSSL によって利用されるファイル構造は初期化する必要があります。 OpenSSL を初期化するためにこれらのステップを完了して下さい:

  2. このコマンドで /etc/pki/CA にディレクトリを変更して下さい:

     cd /etc/pki/CA/

    newcerts と呼ばれる新しいディレクトリを作成しこれらのコマンドを発行して下さい:

    mkdir newcerts touch index.txt
    
  3. 新しいファイルを作成する使用 VI はシリアルを指名しました; ファイルの挿入 01 は、変更を保存し。 (: wq!)

    このディレクトリを変更して下さい:

    cd /etc/pki/tls/certs

  4. このコマンドでシステムのための新しいプライベートキーを生成して下さい:

    openssl genrsa -out profilerFQDN.key 1024

    (ところで「profilerFQDN」が NPS アプライアンスの完全修飾ドメイン ネームと時展開されたスタンドアロン取り替えられる。 HA システムに関しては、VIP の FQDN は使用する必要があります)。

    プロファイラー システムが DNS にない場合、サーバ(VIP)の IP アドレスはこの IP アドレスに FQDN、URL (すなわち、認証警告をの IP の使用を避ける https://10.10.0.1/profiler) 必要とする認証の代りに結ばれます使用することができますが。

  5. 3 年 CA 認証を作成する、およびステップ #4 で生成されるキーを生成して下さいこのコマンドでサーバ証明生成するのに使用するように CA 認証を:

    openssl req -new -x509 -days 1095 -key profilerFQDN.key -out cacert.pem

    CA 認証のための識別名 (DN)の証明書要求および形成に統合される複数の属性のためにプロンプト表示されます。 こののいくつかのためにこれらの項目は、デフォルト値提案されます([])。 入力して下さい DN の各パラメータの希望値をまたは「」。 項目をスキップするために、このステップで使用される DN パラメータのメモを作ること確実でであって下さい。 それらはステップ #7 のサーバ証明のための証明書署名要求の生成で規定 されるそれらと同一である必要があります。

    最後のステップで作成される必須ディレクトリに CA 認証を移動して下さい:

    mv cacert.pem /etc/pki/CA

    新しいプライベートキーとのプロファイラー システムのための証明書署名要求を生成して下さい:

    openssl req -new -key profilerFQDN.key -out profilerFQDN.csr
  6. ちょうど次ステップ #5、サーバ CSR のシステムのための DN を完了するためにプロンプト表示されます。 サーバ CSR のためにステップ #5 で CA 認証のために使用した同じ値を使用するようにして下さい。 パラメータにバリエーションがある場合、CSR は正常に作成されません。 さらに、認証のためのパスフレーズを作成するためにプロンプト表示されます。 パスフレーズのメモを作ることを忘れないでいて下さい。

  7. 前の手順で生成される CSR およびプライベートキーが付いているサーバ証明を生成して下さい。 このステップの出力はプロファイラー サーバ インストールされている署名入り認証です(または HA ペアの場合にはサーバで、)。

    openssl ca -in profilerFQDN.csr -out profilerFQDN.crt -keyfile profilerFQDN.key

    認証に署名し、託すためにプロンプト表示されます。 認証のにサーバ証明 生成を完了するために署名し、託を確認するために y を入力して下さい。

  8. 証明書ファイルを内部 保全 ポリシーによって規定 される 位置に(該当する場合)移動して下さいまたはデフォルト の ロケーションを使用して下さい:

    認証は /etc/pki/tls/certs/ に位置が内部 保全 ポリシーによって規定 されない場合置く必要があります。

    mv profilerFQDN.crt /etc/pki/tls/certs/profilerFQDN.crt
  9. プライベートキーファイルを内部 保全 ポリシーによって規定 される 位置に(該当する場合)移動して下さいまたはデフォルト の ロケーションを使用して下さい:

    プライベートキーは /etc/pki/tls/private/ に位置が内部 保全 ポリシーによって規定 されない場合置く必要があります。 コマンドを使用します

    mv profilerFQDN.key /etc/pki/tls/private/profilerFQDN.key
  10. 必要な変更をプロファイラー Webサーバを新しいプライベートキーおよび認証(ssl.conf は /etc/httpd/conf.d/ にあります)を使用するために強制するように行なうようにエディタとの ssl.conf ファイルをのような VI 編集して下さい。

    1. ssl.conf ではサーバ証明部分はラインで 107 始まります。 ステップ #8 のシステムで作成された新しい証明書ファイルを指すために工場出荷時状態(/etc/pki/tls/certs/localhost.cert)から SSLCertificateFile コンフィギュレーションアイテムを変更して下さい。

    2. ssl.conf ではサーバ プライベートキー部分はラインで 114 始まります。 ステップ #9 にシステムに置かれる新しいプライベートキーファイルを指すために工場出荷時状態(等/PKI/TLS/private/localhost.key)からサーバ プライベートキー コンフィギュレーションアイテムを変更して下さい。

  11. このコマンドでアプライアンスの Apache Web Server を再起動して下さい:

     apachectl -k restart 

    注: システムが展開されたスタンドアロンである場合、歩むために #13 スキップして下さい。

  12. HA NPS システムだけに関しては、HA ペアの他のメンバー(現在のセカンダリ)でプライベートキーおよび CRT をインストールするためにこれらのステップを完了して下さい。 アプライアンスがペアでプライマリであるこれは、UI のための SSL セキュリティ機構は全く同じに動作するようにします。

    1. a. セカンダリ アプライアンスにステップ #3 のプライマリ アプライアンスで生成されるプライベートキーをコピーして下さい。 プライベートキーは /etc/pki/tls/private/ に位置が内部 保全 ポリシーによって規定 されない場合置く必要があります。 このコマンドを使用して下さい(プライマリの /etc/pki/tls/private ディレクトリから):

      scp profilerFQDN.key root@[secondary IP]:/etc/pki/tls/private/
    2. プライマリからのセカンダリ アプライアンスに CA から戻った署名された CRT をコピーして下さい。 認証は /etc/pki/tls/certs/ に位置が内部 保全 ポリシーによって規定 されない場合置く必要があります。

      scp profilerFQDN.crt root@[secondary IP]:/etc/pki/tls/certs 
    3. セカンダリ アプライアンスへの SSH は編集し、新しいプライベートキーおよび認証(ssl.conf は /etc/httpd/conf.d/ にあります)を使用するためにセカンダリの Webサーバを強制するように必要な変更を行なうようにエディタとの ssl.conf ファイルをのような VI

      1. ssl.conf ではサーバ証明部分はラインで 107 始まります。 ステップ #11b にシステムに置かれる新しい証明書ファイルを指すために工場出荷時状態(/etc/pki/tls/certs/localhost.cert)から SSLCertificateFile コンフィギュレーションアイテムを変更して下さい。

      2. ssl.conf ではサーバ プライベートキー部分はラインで 114 始まります。 ステップ #11a にシステムに置かれる新しいプライベートキーファイルを指すために工場出荷時状態(等/PKI/TLS/private/localhost.key)からサーバ プライベートキー コンフィギュレーションアイテムを変更して下さい。

    4. このコマンドでセカンダリ アプライアンスの Apache Web Server を再起動して下さい:

      apachectl -k restart

      これらのステップで作成されたサーバ証明が private CA を利用したので IE 7.0 の Windows PC で信頼されたルート 認証局 リポジトリに認証をインストールするために、プロファイラー UI にアクセスするブラウザは設定されなければなりません。 次の手順に従ってください。

      1. アプライアンスの /home/beacon ディレクトリに作成されたサーバ証明をコピーして下さい:

        cp profilerFQDN.crt /home/beacon
      2. SCP に WinSCP か対等なソフトウェアをアプライアンスからの PC に .crt ファイル使用して下さい。

      3. Certificate import ウィザードを開始する Windows ce rtificate マネージャを開始し、『install certificate』 をクリック するために .crt ファイルをダブルクリックして下さい。

      4. オプション ボタンを選択して下さい。 Browse ボタンをアクティブにするためにこのストアにすべての認証を置いて下さい。

      5. 『Browse』 を選択 し、信頼されたルート認証局証明書ストアをクリックして下さい。

      6. この認証を受け入れるために『OK』 をクリック して下さい。

      7. プロファイラー システムを管理するのに使用する他の PC のこのプロセスを繰り返して下さい。

  13. プロファイラー UI にアクセスし、HTTPS セッションがブラウザによって生成される認証警告無しで開始することに注目して下さい。

オプション 2: 内部/外部 CA への生成する/送信する CSR

次に説明されているプロシージャを始める前に企業名サービスを利用するためにプロファイラー システムが正しく設定されること、そしてシステムに完全修飾ドメイン名 (FQDN)があること DNS エントリがそのような物に作成されることを確認することは重要です。 システム(すなわち、https://beacon.bspruce.com/beacon) か HA システムの FQDN のプロファイラー システムの UI セッションをの場合には IP アドレスの代りの VIP 開けることをこれが事実であることを確認するために、確認して下さい。

システムのための新しいプライベートキーを生成するためにこれらのステップを完了して下さい内部か外部 CA に従って CSR を生成し、次に NPS に有効な署名入り認証を置いて下さい:

  1. SSH かコンソール セッションを NPS アプライアンスに始め、ルートアクセスにそれを上げて下さい。 HA システムに関しては、プライマリ システムにあるようにする VIP への開始 SSH。

  2. NPS のためのデフォルト PKI ディレクトリに行って下さい:

    cd /etc/pki/tls
  3. システムのための新しいプライベートキーファイルを生成するのにこのコマンドを使用して下さい:

    openssl genrsa ?des3 ?out profilerFQDN.key 1024

    「profilerFQDN」が NPS アプライアンスの完全修飾ドメイン ネームと時展開されたスタンドアロン取り替えられるところ。 HA システムに関しては、VIP の FQDN は使用する必要があります)。 プライベートキーの生成を完了するためにパスフレーズを入力し、確認するためにプロンプト表示されます。 プライベートキーを使用して未来のオペレーションにこのパスフレーズが必要となります。 プライベートキー 生成に使用するパスフレーズのメモを作ることを忘れないでいて下さい。

  4. 最後のステップで生成されてプライベートキーがこのシステムのための認証(CRT)の生成のための認証局 (CA)に送信 されること証明書署名要求(CSR)を生成して下さい。

    CSR を生成するのにこのコマンドを使用して下さい

    openssl req ?new ?key profilerFQDN.key ?out profilerFQDN.csr

    (システムの完全修飾ドメイン ネームをの代わりにして下さい 「profilerFQDN」。)

    1. プライベートキーのパスフレーズのために時プロンプト表示されます システムのための CSR を作成して下さい; 続行するためにそれを入力して下さい。

    2. ある複数の属性のためにそれからプロンプト表示されます 顕著のの証明書要求および形成に組み込まれる 名前(DN)。 こののいくつかのためにこれらの項目は、デフォルト値提案されます([])。 入力して下さい DN の各パラメータの希望値をまたは「」。 項目をスキップするため。

  5. このコマンドで CSR のコンテンツを確認して下さい:

    openssl req -noout -text -in profilerFQDN.csr

    (システムの完全修飾ドメイン ネームをの代わりにして下さい 「profilerFQDN」。) あった DN およびこれは CSR についての情報を返します 最後のステップで入力される。 CSR のどの情報でも変更される必要があれば ステップ #4 を完全に繰り返して下さい

  6. 選択された認証局 (CA)に CSR を入れて下さい 国内政策の調和。 要求が正常である場合、CA CA とデジタルで署名した ID証明を送返します プライベートキー。 この新しい CRT が選択された CA によって署名したときに取り替えるのに使用されています プロファイラー システムの工場出荷時状態 CRT、そのブラウザ アクセス プロファイラー UI はサイトの識別、および警告を確認できます NPS の Webサーバへの接続に見られるブラウザのメッセージ サーバはユーザ認証前にもはやのための限り表示する CRT は有効に残ります。 (これはブラウザにに追加される CA があったと仮定します 信頼されたルート 認証機関。)

  7. 使用する CA に依存、その他の情報 可能性のあるまたは他の資格情報のような CSR と共に、入れられる必要があります 認証局によって必要な身元を証明するものおよび認証 機関は志願者に詳細については連絡できます。

    デジタルで署名された CRT が CA からもどって来たら、を続行して下さい 作成されるそれらとファクトリ プライベートキーおよび認証を取り替える次 の ステップ 上記のステップ。 HA システムに関してはインストールするのに、同じプロシージャが使用されています ペアのセカンダリ アプライアンスのプライベートキーおよび認証、ように よく。

  8. 規定 される 位置に認証およびプライベートキーファイルを移動して下さい 内部 保全 ポリシーによって、該当する場合、またはデフォルト の ロケーションを使用して下さい:

    1. プライベートキーは /etc/pki/tls/private/ に置く必要がありません 位置は内部 保全 ポリシーによって規定 されます。 コマンド

      mv profilerFQDN.key /etc/pki/tls/private/profilerFQDN.key
    2. 認証は /etc/pki/tls/certs/ に置く必要がありません 位置は内部 保全 ポリシーによって規定 されます。

      mv profilerFQDN.crt /etc/pki/tls/certs/profilerFQDN.crt
  9. エディタとの ssl.conf ファイルをのような編集して下さい Webサーバを使用するために強制するように必要な変更を行なう VI 新しいプライベートキーおよび認証(ssl.conf はあります /etc/httpd/conf.d/)。

    1. ssl.conf ではサーバ証明部分 ラインで 107 始まります。 から SSLCertificateFile コンフィギュレーションアイテムを変更して下さい 新しいのを指す工場出荷時状態(/etc/pki/tls/certs/localhost.cert) ステップ #8.b にシステムに置かれる証明書ファイル。

    2. ssl.conf ではサーバ プライベートキー部分 ラインで 114 始まります。 からサーバ プライベートキー コンフィギュレーションアイテムを変更して下さい 新しい private を指す工場出荷時状態(等/PKI/TLS/private/localhost.key) ステップ #8.a にシステムに置かれるキーファイル。

  10. このコマンドでアプライアンスの Apache Web Server を再起動して下さい:

    apachectl -k restart 

    注:  システムが展開されたスタンドアロンである場合、歩むために #12 スキップして下さい。

  11. HA NPS システムだけに関しては、インストールするためにこれらのステップを完了して下さい HA ペアの他のメンバー(現在のセカンダリ)のプライベートキーおよび CRT。 これはアプライアンスがペアでプライマリであるこれを、確認します UI のための SSL セキュリティ機構は全く同じに動作します。

    1. ステップのプライマリ アプライアンスで生成されるプライベートキーをコピーして下さい セカンダリ アプライアンスへの #3。 プライベートキーは置く必要があります 位置が内部 保全 ポリシーによって規定 されなければ /etc/pki/tls/private/。 このコマンドを使用して下さい(プライマリの /etc/pki/tls/private ディレクトリから):

      scp profilerFQDN.key root@[secondary IP]:/etc/pki/tls/private/
    2. が原因です。 CA からに戻るプライマリから署名された CRT をコピーして下さい セカンダリ アプライアンス。 認証は /etc/pki/tls/certs/ に置く必要があります 位置が内部 保全 ポリシーによって規定 されなければ。

      scp profilerFQDN.crt root@[secondary IP]:/etc/pki/tls/certs 
    3. セカンダリ アプライアンスへの SSH は ssl.conf ファイルをとの編集し、 の Webサーバを強制するために必要な変更を行なうエディタのような VI 新しいプライベートキーおよび認証(ssl.conf を使用するセカンダリあります /etc/httpd/conf.d/)。

      1. ssl.conf ではサーバ証明部分 ラインで 107 始まります。 から SSLCertificateFile コンフィギュレーションアイテムを変更して下さい 新しいのを指す工場出荷時状態(/etc/pki/tls/certs/localhost.cert) ステップ #11.b にシステムに置かれる証明書ファイル。

      2. ssl.conf ではサーバ プライベートキー部分 ラインで 114 始まります。 からサーバ プライベートキー コンフィギュレーションアイテムを変更して下さい 新しい private を指す工場出荷時状態(等/PKI/TLS/private/localhost.key) ステップ #11.a にシステムに置かれるキーファイル。

    4. セカンダリ アプライアンスの Apache Web Server をとの再起動して下さい このコマンド:

      apachectl -k restart
  12. プロファイラー UI にアクセスし、HTTPS セッションが開始することに注目して下さい ブラウザによって生成される認証警告なし。 警告 持続しましたり、使用されるブラウザに信頼されるに追加される発行 CA があることを確認します 原証明機関。

確認

現在これのために利用可能 な 確認 手順がありません スイッチをリロードします。

トラブルシューティング

現在 利用可能 な特定のトラブルシューティング情報がありません この設定のため。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 107726