Seguridad : Cisco Identity Services Engine Software

Soporte de la configuración HTTPS para la integración ISE SCEP

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe los pasos requeridos configurar el soporte seguro del Protocolo de transporte de hipertexto (HTTPS) para la integración segura del Certificate Enrollment Protocol (SCEP) con el Identity Services Engine (ISE).

Contribuido por las pulas y Silvano Levesque de Todd, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Conocimiento básico del servidor Web de los Servicios de Internet Information Server de Microsoft (IIS)
  • Experiencia en la configuración del SCEP y los Certificados en el ISE

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión 1.1.x ISE
  • Empresa 2008 del r2 del Servidor Windows con el hotfixes para KB2483564KB2633200 instalados

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

El relacionado con la información a los servicios de certificados de Microsoft se proporciona como guía específicamente para Cisco Bring Your Own Device (BYOD). Refiera a TechNet de Microsoft como la fuente definitiva de verdad para las autoridades de certificación de Microsoft, el servicio de la inscripción del dispositivo de red (NDE), y las Configuraciones del servidor relacionadas SCEP.

 

Antecedentes

En un despliegue BYOD, uno de los componentes principales es un Servidor de Enterprise del r2 de Microsoft 2008 que hace el papel NDE instalar.  Este servidor es un miembro del bosque del Active Directory (AD).  Durante la instalación inicial de los NDE, el servidor Web IIS de Microsoft está instalado y configurado automáticamente para soportar la terminación HTTP del SCEP.  En las implementaciones algún BYOD, los clientes pudieron querer asegurar más lejos las comunicaciones entre el ISE y los NDE usando el HTTPS.  Este procedimiento detalla los pasos requeridos pedir y instalar un certificado del Secure Socket Layer (SSL) para el sitio web SCEP.

Configurar

Configuración del certificado de servidor NDE

Nota:  Usted debe configurar un nuevo certificado para el IIS (requerido solamente cuando el IIS se integra con las de otras compañías PKI tal como Verisign o cuando el Certification Authority (CA) y las Funciones del servidor NDE se separan sobre los servidores separados). En el instalar, si el papel NDE está en un Microsoft CA server actual, el IIS utiliza el certificado de identidad del servidor creado durante la configuración de CA.  Para las configuraciones independientes tales como esto, salte directamente a la sección de configuración obligatoria del servidor IIS NDE en este documento.

  1. Conecte con los NDE el servidor vía la consola o el RDP.
  2. Start (Inicio) > Administrative Tools (Herramientas administrativas) del tecleo - > administrador de los Servicios de Internet Information Server (IIS).
  3. Resalte el nombre de servidor IIS y haga clic el icono de los certificados de servidor.

  4. Haga clic en crean el pedido de certificado, y completan los campos.

  5. Abra el archivo de .cer creado en el paso anterior con un editor de textos y copie el contenido al tablero.

  6. Acceda el sitio web de la inscripción de la red de Microsoft CA y haga clic la petición un certificado.

    Ejemplo URL: http://yourCAIP/certsrv


  7. El tecleo presenta un pedido de certificado usando…. La goma en el contenido del certificado del tablero, y elige la plantilla del servidor Web.

  8. Haga clic presentan y después salvan el archivo de certificado al escritorio.
  9. Vuelva al servidor NDE y abra al Administrador IIS utilty. Haga clic en Nombre del servidor y después haga clic el pedido de certificado completo para importar el certificado de servidor creado recientemente.

Configuración obligatoria del servidor IIS NDE

  1. Amplíe Nombre del servidor, amplíe los sitios, Sitio Web predeterminado del tecleo.
  2. Haga clic los atascamientos en la esquina superior derecha.
  3. El tecleo agrega, cambia el Typeto HTTPS, y elige el certificado de la lista desplegable.
  4. Haga clic en OK.

 

Configuración del servidor ISE

  1. Conecte con la interfaz de la inscripción de la red del servidor de CA y descargue el encadenamiento del certificado de CA.

  2. Del ISE GUI, navegue a la administración - > los Certificados - > almacén de certificados e importe el encadenamiento del certificado de CA en el almacén ISE.

  3. Navegue a la administración - > los Certificados - > los perfiles SCEP CA y configure el URL para el HTTPS. Haga clic la Conectividad de la prueba y después haga clic la salvaguardia.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

  • Navegue a la administración - > los Certificados - > certificado Storeand verifican que el encadenamiento del certificado de CA y el certificado de la autoridad de Registro del servidor NDE (RA) están presentes.
  • Utilice Wireshark o el volcado TCP para monitorear el intercambio inicial SSL entre el nodo ISE admin y el servidor NDE.

La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

  • Analice la topología de red BYOD en los puntos de referencia lógicos para ayudar a identificar el debug y a capturar las puntas a lo largo de la trayectoria entre estos puntos finales - ISE, los NDE, y CA.
  • Asegúrese de que el TCP 443 esté permitido bidireccional entre el ISE y el servidor NDE.
  • Monitoree los registros de la aplicación del servidor de CA y NDE para los errores de inscripción y utilice Google o TechNet para investigar esos errores.
  • Utilice la utilidad del volcado TCP en el ISE PSN y monitoree el tráfico a y desde el servidor NDE. Esto está situada bajo las operaciones > las herramientas de diagnóstico > las herramientas generales.
  • Instale Wireshark en el servidor NDE o el SPAN del uso en el Switches intermediario para capturar el tráfico SCEP a y desde el ISE PSN.

La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Información Relacionada



Document ID: 116238