セキュリティ : Cisco Identity Services Engine Software

ISE SCEP 統合のための HTTPS サポートを設定して下さい

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料が Identity Services Engine (ISE)でセキュア Certificate Enrollment Protocol (SCEP)統合のためのハイパーテキスト転送プロトコル セキュア(HTTPS)サポートを設定するために必要なステップを記述したものです。

タッド プーラおよびシルバン Levesque によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Microsoft の Internet Information Services (IIS) Webサーバの基本的な知識
  • ISE の SCEP および認証の設定のエクスペリエンス

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ISE リリース 1.1.x
  • Windows サーバ 2008 インストールされる KB2483564 および KB2633200 のためのホットフィックスとの R2 企業

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

Microsoft 認証 サービスへの関連情報は Cisco のためのガイドがとりわけあなた自身のデバイス(BYOD)を持って来ると同時に提供されます。 Microsoft 認証局 (CA)、ネットワークデバイス登録サービス(NDES)、および SCEP 関連サーバコンフィギュレーションのための真偽の限定的なもととして Microsoft の TechNet を参照して下さい。

 

背景説明

BYOD 配備では、コア コンポーネントの 1 つは NDES ロールをインストールしてもらう Microsoft 2008 R2 エンタープライズ サーバです。  このサーバは Active Directory (AD)フォレストのメンバーです。  NDES の初期インストールの間に、Microsoft の IIS Webサーバは自動的にインストールされ、SCEP の HTTP 終了をサポートするために設定されます。  いくつかの BYOD 配備では、顧客は更に HTTPS を使用して ISE と NDES 間の通信を保護したいと思うかもしれません。  このプロシージャが SCEP Webサイトのために Secure Socket Layer (SSL) 認証を要求し、インストールするために必要なステップを詳述します。

設定

NDES サーバ証明 設定

:  IIS が Verisign のようなサード パーティ PKI と統合か、または Certification Authority (CA)および NDES サーバー ロールが独立サーバに分かれるとき) IIS のための新しい認証を(必要なただ設定して下さい。 インストールでは、NDES ロールが現在の Microsoft CA サーバにあれば、IIS は CA セットアップの間に作成されるサーバ ID証明を使用します。  これのようなスタンドアロン設定に関しては、この資料の NDES サーバ IIS バインディング構成セクションに直接スキップして下さい。

  1. コンソールか RDP によって NDES サーバに接続して下さい。
  2. - > 管理ツール- > Internet Information Services (IIS)マネージャ『Start』 をクリック して下さい。
  3. IIS サーバ名を強調表示し、サーバ証明 アイコンをクリックして下さい。

  4. 証明書要求を『Create』 をクリック し、フィールドに入力して下さい。

  5. テキストエディタで前の手順で作成される .cer ファイルを開き、クリップボードにコンテンツをコピーして下さい。

  6. Microsoft CA Web 登録 Webサイトにアクセスし、『Request a certificate』 をクリック して下さい。

    例 URL: http://yourCAIP/certsrv


  7. 『SUBMIT』 をクリック して下さい使用によって証明書要求を…. クリップボードからの認証 コンテンツに貼り付け、Webサーバ テンプレートを選択して下さい。

  8. デスクトップに証明書ファイルを『SUBMIT』 をクリック し、次に保存して下さい。
  9. NDES サーバに戻り、utilty IIS マネージャを開いて下さい。 サーバ名をクリックし、次に新しく作成されたサーバ証明をインポートするために証明書要求を『Complete』 をクリック して下さい。

NDES サーバ IIS バインディング構成

  1. サーバ名を拡張して下さい、サイトを拡張して下さい、『Default Web Site』 をクリック して下さい。
  2. 右上隅で『Bindings』 をクリック して下さい。
  3. 『Add』 をクリック し、Typeto HTTPS を変更し、ドロップダウン リストから認証を選択して下さい。
  4. [OK] をクリックします。

 

ISE サーバコンフィギュレーション

  1. CA サーバの Web 登録インターフェイスに接続し、CA 認証 チェーンをダウンロードして下さい。

  2. ISE GUI から、- > 認証- > 証明書ストアは管理にナビゲート し、ISE ストアに CA 認証 チェーンをインポートします。

  3. - > 認証- > SCEP CA プロファイルは管理にナビゲート し、HTTPS のための URL を設定します。 接続を『Test』 をクリック し、次に『SAVE』 をクリック して下さい。

確認

ここでは、設定が正常に動作していることを確認します。

  • 管理へのナビゲートは- > 認証- > 認証 Storeand CA 認証 チェーンおよび NDES サーバーの登録機関(RA)認証があることを確認します。
  • ISE Admin ノードと NDES サーバ間の最初の SSL 交換を監視するのに Wireshark か TCP ダンプするを使用して下さい。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

  • デバッグ地点および取得地点と、エンドポイントである ISE、NDES、および CA 間のパスを識別するのに役立つように、BYOD ネットワーク トポロジを論理的な中継点に分割します。
  • TCP 443 が ISE と NDES サーバの間で双方向に許可されるようにして下さい。
  • CA および NDES サーバ アプリケーション ログに登録エラーがないか監視し、Google または TechNet を使用してこれらのエラーを調査します。
  • ISE PSN で TCP ダンプ ユーティリティを使用し、NDES サーバとの間でやりとりするトラフィックを監視します。 これは [Operations] > [Diagnostic Tools] > [General Tools] にあります。
  • Wireshark を NDES サーバでインストールするか、または ISE PSN に出入して SCEP トラフィックをキャプチャ するために中間スイッチの SPAN を使用して下さい。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116238