セキュリティ : Cisco Identity Services Engine - Japanese

個人所有デバイス持ち込み(BYOD)のための SCEP サポートの設定

2013 年 8 月 21 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 7 月 1 日) | 英語版 (2013 年 4 月 11 日) | フィードバック

概要

このドキュメントでは、個人所有デバイス持ち込み(BYOD)のために、Microsoft のネットワーク デバイス登録サービス(NDES)および Simple Certificate Enrollment Protocol(SCEP)を正しく導入する際に必要なステップおよび注意点について説明します。

タッド プーラによって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Identity Services Engine(ISE)リリース 1.1.1 以降
  • Microsoft Windows Server 2008 R2
  • 公開キー インフラストラクチャ(PKI)および証明書

使用するコンポーネント

  • ISE リリース 1.1.1 以降
  • Windows Server 2008 R2 SP1、ホットフィックス KB2483564 および KB2633200 がインストール済み

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。  ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

Microsoft 証明書サービスに関する情報は、シスコの BYOD 用の指針として特に提供されたものです。 MS 認証局、ネットワーク デバイス登録サービス(NDES)、および SCEP に関するサーバ設定についての正式な、正しい情報源として、Microsoft の TechNet を参照してください。

背景説明

Cisco の ISE 対応 BYOD 実装のメリットの 1 つは、エンド ユーザがデバイスの登録をセルフサービスで実行できることです。 これにより、認証クレデンシャルを配布して、ネットワーク上でデバイスを使用可能にするための IT 管理の負担がなくなります。 BYOD ソリューションの中核となるのは、ネットワーク サプリカントのプロビジョニング プロセスで、これは従業員が所有するデバイスに対して必須の証明書を配布する試みです。 この要件を満たすために、Microsoft 認証局(CA)を設定して、SCEP での証明書登録プロセスを自動化することが可能です。 SCEP は、バーチャル プライベート ネットワーク(VPN)環境において証明書の登録とリモート アクセス クライアントおよびルータへの配布を容易にするために長期にわたって使用されてきました。 Windows 2008 R2 Server 上で SCEP 機能を使用するには、NDES のインストールが必要です。 NDES ロールのインストールする際、Microsoft の Internet Information Services(IIS)Web サーバもインストールされます。 IIS は、CA と ISE ポリシー ノードの間の HTTP または HTTPS SCEP 登録要求および応答を停止するために使用されます。 NDES ロールは現行の CA にインストールしたり、メンバー サーバにインストールしたりできます。 スタンドアロン展開では、NDES サービスは既存の CA にインストールされ、この CA には認証局サービスと、オプションで認証局 Web 登録サービスが含まれています。 分散した展開の場合、NDES サービスはメンバー サーバにインストールされます。 次に、配布された NDES サーバは、アップストリームのルート CA またはサブルート CA と通信するように設定されます。 このシナリオで、アップストリーム CA に存在するカスタム テンプレートおよび証明書を使用して、このドキュメントに概略を示すレジストリ変更が NDES サーバ上で行われます。

BYOD 用の SCEP サポートを設定する前に、次の Microsoft ホットフィックスが Windows 2008 R2 NDES サーバにインストールされていることを確認してください。

設定

SCEP 登録チャレンジ パスワードの要件の無効化

デフォルトでは、Microsoft の SCEP(MSCEP)実装は動的チャレンジ パスワードを使用して、証明書登録プロセス中にクライアントおよびエンドポイントを認証します。 この設定要件が存在する場合、ユーザは NDES サーバ上の MSCEP 管理 Web GUI に移動して、パスワードをオンデマンドで生成する必要があります。 登録要求の一部として、ユーザはこのパスワードを含める必要があります。

BYOD の展開におけるチャレンジ パスワードの要件は、ユーザのセルフサービス ソリューションの目的と適合しません。 この要件を除去するには、このレジストリ キーを NDES サーバ上で変更する必要があります。

  1. [Start] をクリックして、検索バーで regedit と入力します。
  2. 次のとおりに移動します。 [Computer] > [HKEY_LOCAL_MACHINE] > [SOFTWARE] > [Microsoft] > [Cryptography] > [MSCEP] [EnforcePassword]。
  3. [EnforcePassword] の値が "0" に設定されているようにします(デフォルトは "1")。

116068-configure-scep-support-byod-01.png

IIS の URL の長さを伸ばす方法

ISE が IIS Webサーバのために余りに長い URL を生成することは可能性のあるです。 この問題を回避するために、デフォルトの IIS 設定を変更して長い URL を許可することができます。

注: クエリ文字列のサイズは ISE およびエンドポイントの設定によって異なる場合があります。 このコマンドは、管理特権を使用して NDES サーバのコマンド ラインから入力する必要があります。


%systemroot%\system32\inetsrv\appcmd.exe set config /section:system.webServer/security/
requestFiltering/requestLimits.maxQueryString:"8192" /commit:apphost

116068-configure-scep-support-byod-02.png

証明書テンプレートの概要

Microsoft CA の管理者は、共通の証明書セットに対してアプリケーション ポリシーを適用するために使用する 1 つ以上のテンプレートを構成できます。 これらのポリシーは、証明書および関連付けられた鍵が使用される機能を識別するのに役立ちます。 アプリケーション ポリシーの値は、証明書のキーの拡張用途(EKU)フィールドに格納されています。 オーセンティケータは EKU フィールドの値を解析し、クライアントによって提示された証明書が目的の機能のために使用できるか確認します。 ごく一般的な用途の一部に、サーバ認証、クライアント認証、IPSec VPN、E メールなどがあります。 ISE の観点では、よく使用される EKU 値として、サーバ認証およびクライアント認証などがあります。

たとえば、セキュリティ保護された銀行の Web サイトをブラウズするとき、要求を処理する Web サーバは、サーバ認証のアプリケーション ポリシーを持つ証明書で設定されています。 サーバが HTTPS 要求を受け取ると、接続した Web ブラウザに、認証用のサーバ認証証明書を送信します。 ここで重要な点は、これはサーバからクライアントへの単方向の交換だということです。 これは ISE に関係するため、サーバ認証証明書の一般的な用途は管理 GUI アクセスです。 ISE は接続したブラウザに対して設定済みの証明書を送信し、クライアントから戻される証明書を受け取ることを予期していません。

BYOD などの EAP-TLS を使用するサービスの場合、相互認証が求められます。 この双方向の証明書交換を有効にするには、ISE ID 証明書を生成するために使用されるテンプレートがサーバ認証の最小限のアプリケーション ポリシーを持っている必要があります。 Web サーバ証明書テンプレートがこの要件を満たします。 エンドポイント証明書を生成する証明書テンプレートは、クライアント認証の最小限のアプリケーション ポリシーを格納している必要があります。 ユーザ証明書テンプレートがこの要件を満たします。 Inline Policy Enforcement Point(iPEP)などのサービス用に ISE を設定する場合、ISE サーバ ID 証明書の生成に使用されるテンプレートは、クライアント認証属性およびサーバ認証属性を両方とも含む必要があります。 これにより、管理ノードとインライン ノードが相互認証できます。 ISE 導入をさらにテストする際のベスト プラクティスは、ISE サーバ ID 証明書に、クライアント認証属性とサーバ認証属性の両方が含まれているのを確認することです。 デフォルトの Microsoft CA Web サーバ テンプレートおよびユーザ テンプレートは再利用が可能ですが、このドキュメントに示すプロセスを使用して、新しいテンプレートをクローニングして作成できます。 これらの証明書要件に基づき、CA 設定と、結果として生じた ISE 証明書およびエンドポイント証明書を慎重に計画することで、実稼働環境にインストールされたときの不要な設定変更を最小限に抑えるようにする必要があります。

116068-configure-scep-support-byod-03.png

証明書テンプレートの設定

概要で述べたように、SCEP は IPSec VPN 環境で広く使用されています。 その結果、NDES ロールのインストールにより、サーバが SCEP 用の IPSec(オフライン要求)テンプレートを使用するように自動設定されます。 このため、Microsoft CA を BYOD 用に準備する際の最初のステップの 1 つは、正しいアプリケーション ポリシーで新しいテンプレートを作成することです。 スタンドアロン展開では、認証局と NDES サービスは同じサーバに一緒に配置されます。 その結果、テンプレートと必須のレジストリ変更は、同じサーバに格納されます。 分散した NDES 展開では、レジストリ変更は NDES サーバ上で実行されます。 ただし、実際のテンプレートは、NDES サービスのインストールで指定されたルート CA またはサブルート CA 上に定義されます。

証明書テンプレートを設定するために使用されるステップを、次に示します。

  1. CA サーバに管理ユーザでログオンします。
  2. [Start] > [Administrative Tools] > [Certification Authority] を選択します。
  3. CA サーバの詳細を開き、[Certificate Templates] フォルダを選択します。 このフォルダには、現在使用可能なテンプレートのリストが格納されています。
  4. 証明書テンプレートを管理するために、[Certificate Templates] フォルダを右クリックして [Manage] を選択します。
  5. [Certificate Templates Console] に、非アクティブなテンプレートが表示されます。
  6. SCEP で使用する新規テンプレートを構成するために、User などのすでに存在するテンプレートを右クリックし、[Duplicate Template] を選択します。
  7. 次に、環境での最小限の CA オペレーティング システム(OS)に応じて、Windows 2003 または Windows 2008 を選択します。
  8. [General] タブに、ISE-BYOD などの表示名と有効期間を追加します。 他のすべてのオプションは、チェックをオフのままにしておきます。

    注: テンプレートの有効期間は CA のルート証明書および中間証明書の有効期間以下にする必要があります。
  9. [Extensions] タブをクリックします。 [Application Policies] をクリックします。 次に [Edit] をクリックします。
  10. [Add] をクリックして、[Client Authentication] がアプリケーション ポリシーとして追加されていることを確認します。 [OK] をクリックします。
  11. [Security] タブをクリックして、[Add...] をクリックします。 NDES サービス インストールで定義された SCEP サービス アカウントがテンプレートのフル コントロールを持つことを確認します。 [OK] をクリックします。
  12. [Certification Authority GUI] インターフェイスに戻ります。
  13. [Certificate Templates] ディレクトリを右クリックします。 [New] [Certificate Template to Issue] に移動します。
  14. 以前設定した [ISE-BYOD] テンプレートを選択し、[OK] をクリックします。
  15. あるいは、CLI でテンプレートを使用可能にします。
    certutil -SetCAtemplates +ISE-BYOD
  16. ISE-BYOD テンプレートが、使用可能な証明書テンプレート リストにリストされます。

証明書テンプレートのレジストリの設定

証明書テンプレートのレジストリ キーを設定するために使用されるステップを、次に示します。

  • NDES サーバに接続します。
  • [Start] をクリックして、検索バーで regedit と入力します。
  • 次のとおりに移動します。 [Computer] > [HKEY_LOCAL_MACHINE] > [SOFTWARE] > [Microsoft] > [Cryptography] [MSCEP]。
  • [EncryptionTemplate]、[GeneralPurposeTemplate]、および [SignatureTemplate] キーを、[IPSec (Offline Request)] から、以前作成された [ISE-BYOD] テンプレートに変更します。
  • レジストリ設定を適用するために NDES サーバをリブートします。

116068-configure-scep-support-byod-04.png

SCEP プロキシで ISE を設定して下さい

BYOD 展開では、エンドポイントはバックエンド NDES サーバと直接通信しません。 その代わりに、ISE ポリシー ノードが SCEP プロキシとして設定され、エンドポイントの代わりに NDES と通信します。 エンドポイントは ISE と直接通信します。 NDES サーバの IIS インスタンスは、SCEP 仮想ディレクトリのための HTTP バインディングまたは HTTPS バインディングあるいはその両方をサポートするように構成できます。

ISE を SCEP プロキシとして設定するステップを次に示します。

  1. 管理クレデンシャルで ISE GUI にログインします。
  2. [Administration] > [Certificates] > [SCEP CA Profiles] をクリックします。
  3. [Add] をクリックします。
  4. サーバの名前と説明を入力します。
  5. SCEP サーバの URL を、IP または完全修飾ドメイン名(FQDN)で入力します。たとえば次のようにします。http://10.10.10.10/certsrv/mscep/
  6. [Test Connectivity] をクリックします。
  7. 接続に成功すると、正常なサーバ応答ポップアップ メッセージが出ます。
  8. [Save] をクリックして設定を保存します。
  9. 確認するには、[Administration] > [Certificates] > [Certificate Store] をクリックし、SCEP NDES サーバの RA 証明書が ISE ノードに自動的にダウンロードされていることを確認します。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

  • デバッグ地点および取得地点と、エンドポイントである ISE、NDES、および CA 間のパスを識別するのに役立つように、BYOD ネットワーク トポロジを論理的な中継点に分割します。
  • TCP 80 または TCP 443 あるいはその両方が、ISE と NDES サーバの間の双方向で許可されていることを確認します。
  • クライアント側のロギングに優れているため、Windows マシンを使用してテストします。
  • CA および NDES サーバ アプリケーション ログに登録エラーがないか監視し、Google または TechNet を使用してこれらのエラーを調査します。
  • ISE、NDES、および CA の間でのパケット収集に役立つように、テスト フェース全体で SCEP 用の HTTP を使用します。
  • ISE PSN で TCP ダンプ ユーティリティを使用し、NDES サーバとの間でやりとりするトラフィックを監視します。 これは [Operations] > [Diagnostic Tools] > [General Tools] にあります。
  • ISE PSN とやりとりする SCEP トラフィックを取得するために、CA および NDES サーバに Wireshark をインストールするか、中継スイッチ上で SPAN を使用します。
  • 適切な CA 証明書チェーンがクライアント証明書の認証のために ISE ポリシー ノードにインストールされるようにします。
  • 適切な CA 証明書チェーンがオンボーディング中にクライアントに自動的にインストールされるようにします。
  • ISE およびエンドポイント ID 証明書をプレビューし、正しい EKU 属性が存在することを確認します。
  • ISE GUI でライブ認証ログを監視し、認証の失敗および許可の失敗がないか確認します。

    注: サーバ認証の EKU を持つクライアント証明書など、間違った EKU が存在する場合、サプリカントがクライアント証明書交換を初期化しないこともあります。 したがって、認証の失敗は常に ISE ログに存在するとは限りません。
  • NDES が分散展開にインストールされた場合、サービスのインストール内ではリモートのルート CA またはサブルート CA が CA 名またはコンピュータ名によって指定されます。 NDES サーバは、このターゲット CA サーバに対して証明書登録要求を送信します。 エンドポイントの証明書登録プロセスに失敗すると、パケット キャプチャ(PCAP)によって、NDES サーバが ISE ノードに 404 Not Found エラーを返したことが表示されることがあります。 解決するには、NDES サービスを再インストールし、CA 名の代わりにコンピュータ名のオプションを選択します。

クライアント側のロギング

  • Windows: ログ %temp%\spwProfileLog.txt.
  • Android/sdcards/downloads/spw.log。
  • MAC OSX: コンソール アプリケーションを使用して、SPW プロセスを探します。
  • iOSiPhone 構成ユーティリティ(iPCUを使用してメッセージを表示する必要があります。

ISE のロギング

ISE ログを表示するには次のステップを使用します。

  • [Administration] > [Logging] > [Debug Log Configuration] に移動し、適切な ISE ポリシー ノードを選択します。
  • 次のログを必要に応じてデバッグまたはトレースします。 clientprovisioning
  • 問題を再現し、検索に役立つ MAC、IP、ユーザなどの関係するシード情報を文書化します。
  • [Operations] > [Download Logs] に移動し、適切な ISE ノードを選択します。
  • [Debug Logs] タブで、ise-psc.log という名前のログをデスクトップにダウンロードします。
  • Notepad ++ などの高機能エディタを使用して、ログ ファイルを解析します。
  • 問題の切り分けが終了したら、ログ レベルをデフォルト レベルに戻します。

NDES のロギングおよびトラブルシューティング

詳細は、TechNet の NDES ロギングおよびトラブルシューティング資料を参照してください。

関連情報


Cisco サポート コミュニティ - 特集対話

Cisco サポート コミュニティでは、フォーラムに参加して情報交換することができます。現在、このドキュメントに関連するトピックについて次のような対話が行われています。


Document ID: 116068