Безопасность : Сервер безопасного контроля доступа Cisco для Windows

Разрешение использования HTTPS путем настройки служб сертификатов SSL для сеансов администрирования Cisco Secure ACS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

По умолчанию Cisco Secure Access Control Server (ACS) использует для своих административных сеансов протокол HTTP. В этом примере конфигурации рассматриваются:

  • использование HTTPS для доступа к интерфейсу HTML Cisco Secure ACS

  • конфигурация сертификата (который требуется, прежде чем можно будет включить HTTPS),

Этот документ был первоначально записан для размещения сертификатов, созданных с Microsoft Certificate Authority (CA), но был обновлен для добавления шагов для использования саморегистрируемого сертификата, который поддерживается с ACS 3.3. Использование саморегистрируемого сертификата оптимизировало настройку значительно, потому что не требуется внешний CA.

Примечание: Если вы хотите использовать саморегистрируемый сертификат, перейдите к Подписанному сертификату Создавания и Установки (только если, не используя внешний CA) раздел этого документа.

Примечание: При использовании внешние сервисы сертификации поставщика, уверены, что вы получаете надлежащий сертификат для Web-сервера от поставщиков как Verisign. Другие сертификаты могли бы быть предложены для Microsoft IIS и Apache.

Предварительные условия

Требования

Необходимо открыть сеанс локального администратора прежде, чем включить HTTPS. Поддержите этот сеанс, открытый после включения его. Протестируйте соединение с удаленным сеансом так, чтобы, если оно не работает (для любой причины), вы были в состоянии отменить выбор Транспорта HTTPS Использования для опции Administration Access. Как только вы проверили это, можно закрыть локальный сеанс.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • ACS 3.1.1 или позже требуемый

  • Microsoft CA server

  • Информационный сервер интернета (IIS) (должен быть установлен перед установкой CA),

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Процедуры

В этом разделе вам предоставляют информацию для установки Microsoft CA server.

Установите Microsoft Certificate (CA) сервер

Выполните следующие действия:

  1. Выберите Start > Settings > Control Panel.

  2. В Панели управления откройте Добавления/удаления программы.

  3. В Добавлениях/удалениях программы выберите Add/Remove Windows Components.

  4. Выберите Certificate Services.

  5. Нажмите кнопку Next.

  6. Нажмите Yes к сообщению IIS.

  7. Выберите автономное (или Предприятие) узел CA.

  8. Нажмите кнопку Next.

  9. Назовите приблизительно

    Примечание: Все другие коробки являются дополнительными.

    Примечание: Избегите давать CA то же название как сервер ACS. Это может заставить клиентов PEAP отказывать аутентификацию, потому что они становятся смущенными, когда корневой сертификат CA найден с тем же названием как серверный сертификат. Эта проблема не уникальна для клиентов Cisco. Если вы не планируете использовать PEAP, это не применяется.

  10. Нажмите кнопку Next.

  11. По умолчанию базы данных корректен.

  12. Нажмите кнопку Next.

    IIS должен быть установлен перед установкой Приблизительно

Создайте серверный сертификат

Выполните следующие действия:

  1. От сервера ACS передите к CA (http://IP_of_CA_server/certsrv/).

  2. Проверьте Запрос коробка сертификата.

  3. Нажмите кнопку Next.

  4. Выберите Расширенный запрос.

  5. Нажмите кнопку Next.

  6. Выберите Подтверждение запроса о сертификате в данный центр сертификации с использованием формы.

  7. Нажмите кнопку Next.

  8. Введите имя на название (CN) коробка.

  9. В Намеченной Цели выберите Server Authentication Certificate.

    Примечание: При использовании Предприятие CA, выбираете Web Server из первого выпадающего списка.

  10. Выберите их под Ключевой Опцией для создания нового шаблона:

    • CSP — v1.0 Microsoft Base Cryptographic Provider

    • Размер ключа — 1024

      Примечание: Сертификаты, созданные с размером ключа, больше, чем 1024, могли бы работать для HTTPS, но не работают для PEAP.

      Примечание: Windows 2003 Enterprise CA позволяет размеры ключа, больше, чем 1024, но использование ключа, больше, чем 1024, не работает с PEAP. Аутентификация, могло бы казаться, прошла бы в ACS, но клиент просто "зависает", в то время как предпринята аутентификация.

    • Ключи как экспортные

      Примечание: Microsoft изменила Шаблон веб-сервера с выпуском Windows 2003 Enterprise CA. With это изменение шаблона, ключи больше не являются экспортными, и опция отображается серым. Нет никаких других шаблонов сертификата, предоставленных сервисами сертификации, которые являются для проверки подлинности сервера, или которые дают возможность отметить ключи как экспортные в раскрывающемся меню. Для создания нового шаблона, который делает так, видит Создавание Нового раздела Шаблона сертификата.

    • Используйте память локального компьютера

    Примечание: Все другие выборы нужно оставить как по умолчанию.

  11. Щелкните Submit (отправить).

  12. Необходимо получить это сообщение: запрос сертификата был получен.

Создайте новый шаблон сертификата

Выполните следующие действия:

  1. Выберите Start> Run> certmpl.msc.

  2. Щелкните правой кнопкой мыши Шаблон веб-сервера.

  3. Выберите Duplicate Template.

  4. Дайте шаблону название, такое как ACS.

  5. Нажмите вкладку Request Handling.

  6. Выберите секретный ключ Allow, который будет экспортироваться.

  7. Нажмите кнопку CSP.

  8. Выберите v1.0 Microsoft Base Cryptographic Provider.

  9. Нажмите кнопку ОК.

    Примечание: Все другие опции нужно оставить как по умолчанию.

  10. Нажмите кнопку Apply.

  11. Нажмите кнопку ОК.

  12. Откройте моментальный снимок MMC CA - в.

  13. Щелкните правой кнопкой мыши шаблоны сертификата.

  14. Выберите New> Certificate Template to Issue.

  15. Выберите новый шаблон, который вы создали.

  16. Нажмите кнопку ОК.

  17. Перезапустите приблизительно

    Новый шаблон включен в выпадающий список Шаблона сертификата.

Утвердите сертификат от CA

Выполните следующие действия:

  1. Выберите Start> Programs> Administrative Tools> Certificate Authority.

  2. На левом оконном стекле разверните сертификат.

  3. Выберите Pending Requests.

  4. Щелкните правой кнопкой мыши на сертификате.

  5. Выберите все задачи.

  6. Выберите Issue.

Загрузите серверный сертификат к серверу ACS

Выполните следующие действия:

  1. От сервера ACS передите к CA (http://IP_of_CA_server/certsrv/).

  2. Выберите проверяют сертификат в состоянии ожидания.

  3. Нажмите кнопку Next.

  4. Выберите сертификат.

  5. Нажмите кнопку Next.

  6. Нажмите кнопку Install (Установить).

Установите сертификат CA на сервере ACS

Примечание: Если ACS и CA установлены на том же сервере, эти шаги не требуются.

    Выполните следующие действия:

  1. От сервера ACS передите к CA (http://IP_of_CA_server/certsrv/).

  2. Выберите Retrieve the CA certificate или список отозванных сертификатов.

  3. Нажмите кнопку Next.

  4. Выберите закодированный Base 64.

  5. Нажмите Download CA certificate.

  6. Нажмите кнопку Open.

  7. Нажмите кнопку Install Certificate (Установить сертификат).

  8. Нажмите кнопку Next.

  9. Выберите Place все сертификаты в придерживающемся хранилище.

  10. Нажмите кнопку Browse.

  11. Установите флажок хранилищ Show physical.

  12. На левом оконном стекле разверните Доверенные корневые центры сертификации.

  13. Выберите Local Computer.

  14. Нажмите кнопку ОК.

  15. Нажмите кнопку Next.

  16. Нажмите кнопку Finish.

  17. Нажмите OK на импорте был успешной коробкой.

ACS настройки для Использования серверного сертификата

Выполните следующие действия:

  1. На сервере ACS выберите System Configuration.

  2. Выберите ACS Certificate Setup.

  3. Выберите сертификат Install ACS.

  4. Выберите сертификат Use из хранилища.

  5. Введите на название CN (то же название, которое использовалось в Шаге 8 Создавания раздела Серверного сертификата).

  6. Щелкните Submit (отправить).

  7. На сервере ACS нажмите конфигурацию системы.

  8. Выберите ACS Certificate Setup.

  9. Выберите Edit Certificate Trust List.

  10. Установите флажок для Приблизительно

  11. Щелкните Submit (отправить).

Создайте и установите подписанный сертификат

Примечание: Если вы не используете внешнее Приблизительно, этот раздел только применяется

Выполните следующие действия:

  1. На сервере ACS нажмите System Configuration.

  2. Нажмите ACS Certificate Setup.

  3. Нажмите Generate Self-signed Certificate.

  4. Введите предмет сертификата в форме cn=XXXX. В данном примере используется cn=ACS33. Для большего количества параметров конфигурации подписанного сертификата обратитесь к Конфигурации системы: Проверка подлинности и сертификаты.

  5. Введите полный путь и название сертификата, который будет создан в коробке Файла сертификата. Например, c:\acscerts\acs33.cer.

  6. Введите полный путь и название файла закрытого ключа, который будет создан в коробке Файла закрытого ключа. Например, c:\acscerts\acs33.pvk.

  7. Введите и подтвердите пароль с закрытым ключом.

  8. Выберите 1024 из выпадающего списка длины ключа.

    Примечание: В то время как ACS может генерировать размеры ключа, больше, чем 1024, использование ключа, больше, чем 1024, не работает с PEAP. Аутентификация, могло бы казаться, прошла бы в ACS, но клиент "зависает", в то время как предпринята аутентификация.

  9. Из Дайджеста для подписания со списком выберите дайджест хэша, который будет использоваться для шифрования ключа. В данном примере используется дайджест для подписания с в SHA1.

  10. Проверьте, что Установка генерировала сертификат.

  11. Щелкните Submit (отправить).

Включите HTTPS для сеансов admin

Выполните следующие действия:

  1. Выберите Administration Control> Access Policy.

  2. Проверьте Транспорт HTTPS Использования для коробки Административного доступа.

  3. Щелкните Submit (отправить).

    Необходимо теперь быть в состоянии открыть сеанс для https://IP_of_ACS:2002. Вам предлагают для входа в систему.

    Примечание: Необходимо открыть сеанс локального администратора перед включением HTTPS. Поддержите этот сеанс, открытый после включения его. Протестируйте соединение с удаленным сеансом так, чтобы, если оно не работает (для любой причины), вы были в состоянии отменить выбор Транспорта HTTPS Использования для опции Administration Access. Как только вы проверяете это, можно закрыть локальный сеанс.

    Примечание: Если вы, действительно оказывается, блокируете себя, можно взломать реестр для выключения HTTPS для сеансов admin. Чтобы сделать это, необходимо изменить ключ реестра от значения два к значению одного. Например, HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.2\CSAdmin\Config\HT TPSSupport.

Проверка.

Подведенный для создания Сообщения об ошибках объекта 'CertificateAuthority. Request'

В данном разделе содержатся сведения о проверке работы конфигурации.

Выполните следующие действия:

  1. Выберите Start> Administrative Tools> IIS.

  2. Выберите Web Sites> Default Web Site.

  3. Щелкните правой кнопкой мыши CertSrv.

  4. Выберите Properties.

  5. Нажмите кнопку Configuration в разделе Прикладных режимов вкладки Virtual Directory.

  6. Нажмите вкладку Options.

  7. Выберите состояние сеанса Enable.

    Примечание: Все другие опции нужно оставить как по умолчанию.

  8. Нажмите кнопку ОК.

  9. Нажмите кнопку ОК.

  10. Перезапуск IIS.

Если блокировки браузера с сообщением Элемента управления ActiveX Загрузки, сошлитесь на эту статью относительно Веб-узла Microsoft site:Internet, Проводник Прекращает Отвечать при "Загрузке Элемента управления ActiveX" сообщение Когда Вы Попытка Использовать Сервер сертификатов leavingcisco.com.

Загрузка...

Если состояние поля CSP "Загружается....", удостоверьтесь, что вы не выполняете программный брандмауэр на машине, отправляющей запрос. ZoneLabs' ZoneAlarm может вызвать эту проблему. Другое программное обеспечение может также вызвать эту проблему.

Устранение неполадок

Нет никаких сведений об устранении проблем, доступных в это время.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 64049