Seguridad : Cisco Identity Services Engine

Soporte de la configuración SCEP para BYOD

31 Julio 2013 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (11 Abril 2013) | Comentarios

Introducción

Este documento describe los pasos y las advertencias requeridos para desplegar con éxito el servicio de la inscripción del dispositivo de red de Microsoft (NDE) y el protocolo simple certificate enrollment (SCEP) para Bring su propio dispositivo (BYOD).

Contribuido por las pulas de Todd, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Versión 1.1.1 del Identity Services Engine (ISE) o más adelante.
  • R2 2008 del Microsoft Windows server.
  • Public Key Infrastructure (PKI) y Certificados.

Componentes Utilizados

  • Versión 1.1.1 ISE o más adelante
  • R2 2008 del Servidor Windows SP1 con el hotfixes KB2483564 y KB2633200 instalado

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada).  Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

El relacionado con la información a los servicios de certificados de Microsoft se proporciona como guía específicamente para Cisco BYOD. Refiera por favor a TechNet de Microsoft como la fuente definitiva de verdad para las autoridades de certificación MS, el servicio de la inscripción del dispositivo de red (NDE), y las Configuraciones del servidor relacionadas SCEP.

Antecedentes

Una de las ventajas de la implementación ISE-habilitada BYOD de Cisco es capacidad de los usuarios finales ' de realizar el registro del dispositivo del autoservicio. Esto elimina la carga administrativa en el TIC para distribuir los credenciales de autenticación y habilitar los dispositivos en la red. En el corazón de BYOD la solución es el proceso de abastecimiento del supplicant de la red, que intenta distribuir los Certificados indispensables a los dispositivos poseídos empleado. Para satisfacer este requisito, un Microsoft Certificate Authority (CA) se puede configurar para automatizar el proceso de la inscripción del certificado con el SCEP. El SCEP se ha utilizado por los años en los entornos del Red privada virtual (VPN) para facilitar la inscripción del certificado y la distribución a los clientes de acceso remoto y al Routers. La habilitación de las funciones SCEP en un servidor del r2 de Windows 2008 requiere la instalación de los NDE. Durante la instalación del papel NDE, el servidor Web de los Servicios de Internet Information Server de Microsoft (IIS) también está instalado. El IIS se utiliza para terminar el HTTP o los pedidos de inscripción y las respuestas HTTPS SCEP entre nodo de la directiva de CA y ISE. El papel NDE se puede instalar en CA actual, o puede ser instalado en un servidor miembro. En un despliegue independiente, el servicio NDE está instalado en CA existente que incluye el servicio de las autoridades de certificación y, opcionalmente, el servicio de la inscripción de la red de las autoridades de certificación. En un despliegue distribuido, el servicio NDE está instalado en un servidor miembro. El servidor distribuido NDE entonces se configura para comunicar con una raíz o una sub-raíz por aguas arriba CA. En este escenario, las modificaciones del registro delineadas en este documento se hacen en el servidor NDE con la plantilla personalizada y los Certificados que residen en la conexión en sentido ascendente CA.

Antes de que usted configure el soporte SCEP para BYOD, asegúrese de que el servidor del r2 NDE de Windows 2008 tenga este hotfixes de Microsoft instalado:

Configurar

Requisito de la contraseña de impugnación de la inscripción SCEP de la neutralización

Por abandono, la implementación SCEP de Microsoft (MSCEP) utiliza una contraseña de impugnación dinámica para autenticar los clientes y los puntos finales en el proceso de la inscripción del certificado. Con estos requisitos para la configuración en el lugar, los usuarios deben hojear a la red GUI MSCEP admin en el servidor NDE para generar una contraseña a pedido. Como parte del pedido de inscripción, el usuario debe incluir esta contraseña.

En un despliegue BYOD, el requisito de una contraseña de impugnación derrota el propósito de una solución del autoservicio del usuario. Para quitar este requisito, esta clave de registro se debe modificar en el servidor NDE:

  1. Haga clic el comienzo y ingrese el regedit en la barra de la búsqueda.
  2. Navegue a: Computadora > HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > criptografía > MSCEP > EnforcePassword.
  3. Asegúrese de que el valor de EnforcePassword esté fijado al “0" (el valor por defecto es el "1").

116068-configure-scep-support-byod-01.png

Cómo ampliar la longitud URL en el IIS

Es posible que el ISE genere los URL, que son demasiado largos para el servidor Web IIS. Para evitar este problema, la configuración IIS predeterminada se puede modificar para permitir URL más largos.

Nota: Los tamaños de la cadena de consulta pudieron variar al dependiente en la configuración ISE y del punto final. Este comando se debe ingresar de la línea de comando server NDE con los privilegios administrativos:


%systemroot%\system32\inetsrv\appcmd.exe set config /section:system.webServer/security/
requestFiltering/requestLimits.maxQueryString:"8192" /commit:apphost

116068-configure-scep-support-byod-02.png

Descripción del Certificate Template plantilla de certificado

Los administradores de Microsoft CA pueden configurar una o más plantillas que se utilicen para aplicar las directivas de la aplicación a un conjunto común de Certificados. Estas directivas ayudan a identificar qué función deben el certificado y las claves asociadas ser utilizados. Los valores de directiva de la aplicación se contienen en el campo dominante extendido del uso (EKU) del certificado. El authenticator analiza los valores en el campo del EKU para asegurarse de que el certificado presentado por el cliente se puede utilizar para la función prevista. Algunas de las aplicaciones mas comunes incluyen la autenticación de servidor, la autenticación de cliente, el IPSec VPN, y el email. En términos de ISE, los valores generalmente usados del EKU incluyen el servidor y/o la autenticación de cliente.

Cuando usted hojea a un Web site seguro del banco, por ejemplo, el servidor Web que procesa la petición se configura con un certificado con una directiva de la aplicación de la autenticación de servidor. Cuando el servidor recibe una petición HTTPS, envía su Certificado de autenticación de servidor al buscador Web de conexión para la autenticación. El punto importante aquí es que esto es un intercambio unidireccional del servidor al cliente. Pues se relaciona con el ISE, un de uso común para un Certificado de autenticación de servidor es acceso a GUI admin. El ISE envía su certificado configurado al navegador conectado y no lo espera recibir un certificado detrás del cliente.

Cuando se trata de los servicios tales como BYOD que utilicen el EAP-TLS, se prefiere la autenticación recíproca. Para habilitar este intercambio bidireccional del certificado, la plantilla usada para generar el certificado de identidad ISE debe poseer una directiva mínima de la aplicación de la autenticación de servidor. El Certificate Template plantilla de certificado del servidor Web satisface este requisito. El Certificate Template plantilla de certificado que genera los Certificados del punto final debe contener una directiva mínima de la aplicación de la autenticación de cliente. La plantilla del Certificado de usuario satisface este requisito. Si usted configura el ISE para los servicios tales como punta en línea de la aplicación de políticas (iPEP), la plantilla usada para generar el certificado de identidad del servidor ISE debe contener ambos atributos de la autenticación de cliente y servidor. Esto permite que el admin y los Nodos en línea se autentiquen mutuamente. Una mejor práctica a la prueba futura el despliegue ISE es asegurarse de que los certificados de identidad del servidor ISE incluyen ambos atributos de la autenticación de cliente y servidor. El servidor Web y las plantillas del usuario predeterminados de Microsoft CA pueden ser reutilizados o una nueva plantilla se puede reproducir y crear con el proceso delineado en este documento. Basado sobre estos requisitos del certificado, la configuración de CA y el ISE resultante y los Certificados del punto final se deben planear cuidadosamente para minimizar cualquier cambio de configuración no deseada cuando está instalada en un entorno de producción.

116068-configure-scep-support-byod-03.png

Configuración del Certificate Template plantilla de certificado

Como se apunta en la introducción, el SCEP es ampliamente utilizado en los entornos del IPSec VPN. Como consecuencia, la instalación del papel NDE configura automáticamente el servidor para utilizar la plantilla del IPSec (petición offline) para el SCEP. Debido a esto, uno de los primeros pasos en la preparación de Microsoft CA para BYOD es construir una nueva plantilla con la directiva correcta de la aplicación. En un despliegue independiente, colocan a las autoridades de certificación y a los servicios NDE en el mismo servidor. Como consecuencia, las plantillas y las modificaciones requeridas del registro se contienen al mismo servidor. En un despliegue distribuido NDE, las modificaciones del registro se hacen en el servidor NDE; sin embargo, las plantillas reales se definen en el servidor de CA de la raíz o de la sub-raíz especificadas en la instalación del servicio NDE.

Aquí están los pasos usados para configurar el Certificate Template plantilla de certificado:

  1. Inicio al servidor de CA con el Usuario administrador.
  2. Start (Inicio) > Administrative Tools (Herramientas administrativas) > autoridades de certificación del tecleo.
  3. Amplíe los detalles del servidor de CA y seleccione la carpeta de los Certificate Template plantilla de certificado. Esta carpeta contiene una lista de las plantillas habilitadas actualmente.
  4. Para manejar los Certificate Template plantilla de certificado, el click derecho en la carpeta de los Certificate Template plantilla de certificado y elegir maneja.
  5. En la consola de los Certificate Template plantilla de certificado, se visualizan varias plantillas inactivas.
  6. Para configurar una nueva plantilla para el uso con el SCEP, click derecho en una plantilla que existe ya, por ejemplo el usuario, y elige la plantilla duplicado.
  7. Entonces elija Windows 2003 o Windows 2008, dependiente sobre el operating system (OS) mínimo de CA en el entorno.
  8. En la ficha general, agregue un nombre de la visualización, tal como ISE-BYOD y período de validez; deje toda la otra opción desmarcada

    Nota: El período de validez de la plantilla debe ser inferior o igual el período de validez de los Certificados de la raíz y del intermedio de CA.
  9. Haga clic en la lengueta de las Extensiones; haga clic en las directivas de la aplicación; entonces haga clic editan.
  10. El tecleo agrega y se asegura de que la autenticación de cliente está agregada como directiva de la aplicación. Haga clic en OK.
  11. Haga clic en la ficha de seguridad, tecleo agregan…. Asegúrese de que la Cuenta de servicio SCEP definida en la instalación del servicio NDE tenga control total de la plantilla. Haga clic en OK.
  12. Vuelva a la interfaz GUI de las autoridades de certificación.
  13. Haga clic con el botón derecho del ratón en el directorio de los Certificate Template plantilla de certificado. Navegue a nuevo > Certificate Template plantilla de certificado a publicar.
  14. Seleccione la plantilla ISE-BYOD configurada previamente y haga clic la AUTORIZACIÓN.
  15. Alternativamente, habilite la plantilla con el CLI:
    certutil - SetCAtemplates +ISE-BYOD
  16. La plantilla ISE-BYOD se debe ahora enumerar en la lista habilitada del Certificate Template plantilla de certificado.

Configuración del registro del Certificate Template plantilla de certificado

Aquí están los pasos usados para configurar las claves de registro del Certificate Template plantilla de certificado:

  • Conecte con los NDE el servidor.
  • Haga clic el comienzo y ingrese el regedit en la barra de la búsqueda.
  • Navegue a: Computadora > HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > criptografía > MSCEP.
  • Cambie las claves de EncryptionTemplate, de GeneralPurposeTemplate, y de SignatureTemplate del IPSec (petición offline) a la plantilla ISE-BYOD creada previamente.
  • Reinicie el servidor NDE para aplicar la configuración del registro.

116068-configure-scep-support-byod-04.png

Configure el ISE como proxy SCEP

En un despliegue BYOD, el punto final no comunica directamente con el servidor backend NDE. En lugar, el nodo de la directiva ISE se configura como proxy SCEP y comunica con el servidor NDE en nombre de los puntos finales. Los puntos finales comunican directamente con el ISE. El caso IIS en el servidor NDE se puede configurar para soportar los atascamientos HTTP y/o HTTPS para los directorios virtuales SCEP.

Aquí están los pasos para configurar el ISE como proxy SCEP:

  1. Registro en ISE GUI con las credenciales admin.
  2. Haga clic en la administración > los Certificados > los perfiles SCEP CA.
  3. Haga clic en Add (Agregar).
  4. Ingrese Nombre del servidor y la descripción.
  5. Ingrese el URL para el servidor SCEP con el IP o el Nombre de dominio totalmente calificado (FQDN) (FQDN), por ejemplo, http://10.10.10.10/certsrv/mscep/
  6. Haga clic la Conectividad de la prueba.
  7. Una conexión satisfactoria da lugar a un mensaje móvil de la respuesta del servidor acertada.
  8. Salvaguardia del tecleo para aplicar la configuración.
  9. Para verificar, haga clic en la administración > los Certificados > el almacén del certificado y confirme que el certificado del servidor RA SCEP NDE se ha descargado automáticamente al nodo ISE.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

  • Analice la topología de red BYOD en los puntos de referencia lógicos para ayudar a identificar el debug y a capturar las puntas a lo largo de la trayectoria entre estos puntos finales - ISE, los NDE, y CA.
  • Asegúrese de que el TCP 80 y/o el TCP 443 estén permitidos bidireccional entre el ISE y el servidor NDE.
  • Pruebe con una máquina de Windows debido al registro mejorado del client cara.
  • Monitoree los registros de la aplicación del servidor de CA y NDE para los errores de inscripción y utilice Google o TechNet para investigar esos errores.
  • En la fase de prueba, utilice el HTTP para el SCEP para facilitar a las capturas de paquetes entre el ISE, los NDE, y CA.
  • Utilice la utilidad del volcado TCP en el ISE PSN y monitoree el tráfico a y desde el servidor NDE. Esto está situada bajo las operaciones > las herramientas de diagnóstico > las herramientas generales.
  • Instale Wireshark en el servidor de CA y NDE o el SPAN del uso en el Switches intermediario para capturar el tráfico SCEP a y desde el ISE PSN.
  • Asegúrese de que el encadenamiento apropiado del certificado de CA instalado en el nodo de la directiva ISE para la autenticación de los certificados del cliente.
  • Asegúrese de que el encadenamiento apropiado del certificado de CA esté instalado automáticamente sobre los clientes durante onboarding.
  • Vea los certificados de identidad ISE de antemano y del punto final y confirme que los atributos correctos del EKU están presentes.
  • Monitoree la autenticación viva abre una sesión el ISE GUI para los errores de la autenticación y autorización.

    Nota: Algunos suplicantes no inicializan un intercambio del certificado del cliente si el EKU incorrecto está presente, por ejemplo, un certificado del cliente con el EKU de la autenticación de servidor. Por lo tanto, las fallas de autenticación no pudieron siempre estar presentes en los registros ISE.
  • Cuando los NDE están instalados en un despliegue distribuido, una raíz o una sub-raíz remota CA será señalada por el nombre o el nombre de computadora de CA en la instalación del servicio. El servidor NDE envía los pedidos de inscripción del certificado a este servidor de CA de la blanco. Si el proceso de inscripción del certificado del punto final falla, las capturas de paquetes (PCAP) pudieron mostrar a la vuelta del servidor NDE un error no encontrado 404 al nodo ISE. En un intento por resolver, reinstale el servicio NDE y seleccione la opción del nombre de computadora en vez del nombre de CA.

Registro lateral del cliente

  • Windows: Registro el %temp% \ spwProfileLog.txt.
  • Androide: /sdcards/downloads/spw.log.
  • MAC OSX: Utilice la consola App y busque el proceso SPW.
  • IOS: Debe utilizar la utilidad de configuración del iPhone (iPCU) para ver los mensajes.

Registro ISE

Utilice estos pasos para ver el registro ISE:

  • Navegue a la administración > a la configuración del registro del registro > del debug y seleccione el nodo apropiado de la directiva ISE.
  • Fije estos registros para hacer el debug de o para localizar como sea necesario: cliente, provisioning.
  • Reproduzca el problema y documente la información relevante del germen para facilitar el buscar, por ejemplo el MAC, IP, del usuario, y así sucesivamente.
  • Navegue a las operaciones > a los registros de la descarga y seleccione el nodo apropiado ISE.
  • En los registros del debug tabule, descargue los registros nombrados ise-psc.log al escritorio.
  • Utilice un editor inteligente, tal como libreta ++ para analizar los archivos del registro.
  • Cuando se ha aislado el problema, después vuelva los niveles del registro a su nivel predeterminado.

NDE que registran y que localizan averías

Para más información, refiera a los NDE que registran y que localizan averías la documentación en TechNet.

Información Relacionada


Comunidad de Soporte de Cisco - Conversaciones Destacadas

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas. Aquí están algunas de las charlas más importantes presentadas en nuestro foro.


Document ID: 116068