Безопасность : Cisco Identity Services Engine Software

Поддержка SCEP ISE Примера конфигурации BYOD

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает шаги, которые используются для успешной настройки Сервиса Регистрации Устройства сети Microsoft (NDES) и Протокола SCEP (SCEP) для BYOD на Механизме Cisco Identify Services (ISE).

Внесенный Тоддом Пулой, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Выпуск 1.1.1 ISE или позже
  • Microsoft Windows server 2008 R2
  • Стандарт Microsoft Windows server 2012 года
  • Инфраструктура открытых ключей (PKI) и сертификаты

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Выпуск 1.1.1 ISE или позже
  • Windows Server 2008 R2 SP1 с KB2483564 и заплатами KB2633200 установлен
  • Стандарт Windows Server 2012 года

 Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования. 

Информация, отнесенная к сервисам сертификации Microsoft, предоставлена как руководство в частности для Cisco BYOD. Именуйте Microsoft TechNet как категорический источник истины для центра сертификации Microsoft, службы Network Device Enrollment Service (NDES) и связанных с SCEP конфигураций сервера. 

Общие сведения

Одно из преимуществ Cisco поддерживающая ISE реализация BYOD является возможностью конечных пользователей выполнить регистрацию устройства самообслуживания. Это устраняет административные накладные расходы на IT, чтобы распределить учетные данные для аутентификации и включить устройства в сети. В основе решения BYOD сетевой процесс инициализации соискателя, который стремится распределить необходимые сертификаты устройствам находившимся в собственности сотрудников. Для удовлетворения этого требования Microsoft Certificate Authority (CA) может быть настроен для автоматизации процесса хранилища сертификатов с SCEP.

SCEP использовался в течение многих лет в средах Виртуальной частной сети (VPN) для упрощения хранилища сертификатов и распределения клиентам удаленного доступа и маршрутизаторам. Включение функциональности SCEP на сервере Windows 2008 R2 требует установки NDES. Во время установки роли NDES Microsoft Internet Information Services (IIS) также установлен Web-сервер. IIS используется для завершения HTTP или запросов регистрации SCEP HTTPS и ответов между CA и узлом политики ISE.

Роль NDES может быть установлена на текущем CA, или она может быть установлена на рядовом сервере. В автономном развертывании сервис NDES установлен на существующем CA, который включает сервис Центра сертификации и, дополнительно, веб-сервис Регистрации Центра сертификации. В распределенном развертывании сервис NDES установлен на рядовом сервере. Распределенный сервер NDES тогда настроен для передачи с восходящим root или подузлом CA. В этом сценарии модификации реестра, выделенные в этом документе, сделаны на сервере NDES с настраиваемым шаблоном, где сертификаты находятся на восходящем Приблизительно

Протестированные Сценарии развертывания CA/NDES

Этот раздел предоставляет краткий обзор сценариев развертывания CA/NDES, которые были протестированы в лабораториях Cisco. Именуйте Microsoft TechNet как категорический источник истины для Microsoft CA, NDES и связанных с SCEP конфигураций сервера.

Автономные развертывания

Когда ISE используется в сценарии Подтверждения концепции (PoC), распространено развернуть автономную машину Windows 2008 или 2012, которая действует как контроллер домена Active Directory (AD), узел CA и сервер NDES:

116068-configure-product-01.jpg

Распределенные развертывания

Когда ISE интегрирован в текущую производственную среду Microsoft AD/PKI, более распространено видеть, что сервисы распределили accross множественные, отдельные серверы Windows 2008 или 2012. Cisco протестировал два сценария на распределенные развертывания.

Этот образ иллюстрирует первый протестированный сценарий для распределенных развертываний:

Этот образ иллюстрирует второй протестированный сценарий для распределенных развертываний:

Важная Microsoft Hotfixes

Прежде чем вы настроите поддержку SCEP BYOD, гарантируете, что серверу Windows 2008 R2 NDES установили эти заплаты Microsoft:

warningПредупреждение: При настройке Microsoft CA важно понять, что ISE не поддерживает алгоритм сигнатуры RSASSA-PSS. Cisco рекомендует настроить политику CA так, чтобы это использовало sha1WithRSAEncryption или sha256WithRSAEncryption вместо этого.

Важная BYOD Ports & Protocols

Вот список важных портов и протоколов BYOD:

  • Инициализация TCP  /*: 8909: установка мастера от ISE Cisco (Windows и операционные системы (OS) Macintosh)

  • Инициализация TCP  /*: 443: установка мастера от Google Play (Android)

  • Инициализация TCP  /*: 8905: процесс инициализации соискателя

  • TCP  /*: 80 или TCP: 443 Прокси SCEP к CA (на основе конфигурации URL RA SCEP)

Примечание: Для lastest списка требуемых портов и протоколов, обратитесь к руководству по установке оборудования ISE 1.2.

Настройка

Используйте этот раздел для настройки NDES и поддержки SCEP BYOD на ISE.

Отключите требование пароля вызова регистрации SCEP

По умолчанию, Microsoft SCEP (MSCEP), реализация использует динамический пароль вызова для аутентификации клиентов и оконечных точек в течение процесса хранилища сертификатов. С этим конфигурационным требованием на месте, необходимо перейти к веб-GUI admin MSCEP на сервере NDES для генерации пароля по требованию. Необходимо включать этот пароль как часть запроса регистрации.

В развертываниях BYOD требование пароля вызова побеждает цель пользовательского решения самообслуживания. Для удаления этого требования необходимо модифицировать этот ключ реестра на сервере NDES:

  1. Нажмите Start и введите regedit в панель поиска.

  2. Перейдите к Компьютеру> HKEY_LOCAL_MACHINE> ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ> Microsoft> Криптография> MSCEP> EnforcePassword.

  3. Гарантируйте, что значение EnforcePassword установлено в 0 (значение по умолчанию равняется 1).

Ограничьте регистрацию SCEP известными узлами ISE

В некоторых сценариях развертывания это могло бы быть предпочтено для ограничения связи SCEP списком выборки известных узлов ISE. Это может быть выполнено с IPv4 Address и Доменной функцией Ограничений в IIS:

  1. Откройте IIS и перейдите к/CertSrv/mscep вебу - узлы/URL.


  2. Безопасность двойного щелчка> IPv4 Address и Доменные Ограничения. Используйте Добавление, Позволяют Запись и Добавляют действия Записи deny, чтобы разрешить или ограничить доступ к вебу - контенту на основе Ipv4 address узла ISE или доменных имен. Используйте действие Настроек характеристики Редактирования для определения правила доступа по умолчанию для неуказанных клиентов.

Расширьте длину URL в IIS

Для ISE возможно генерировать URL, которые являются слишком длинными для Web-сервера IIS. Во избежание этой проблемы конфигурация IIS по умолчанию может модифицироваться для учета более длинных URL. Введите эту команду от CLI сервера NDES:

%systemroot%\system32\inetsrv\appcmd.exe set config /section:system.webServer/
 security/requestFiltering /requestLimits.maxQueryString:"8192" /commit:apphost

Примечание: Размер строки запроса мог бы варьироваться зависящий от конфигурации оконечной точки и ISE. Введите эту команду от CLI сервера NDES с администраторскими привилегиями.

Обзор шаблона сертификата

Администраторы Microsoft CA могут настроить один или несколько шаблонов, которые используются для применения правил приложений к единому набору сертификатов. Эта политика помогает определять, для которой функции используются сертификат и cвязанные ключи. Значения правила приложений содержатся в поле расширенного использования ключа (EKU) сертификата. Средство проверки подлинности анализирует значения в поле EKU, чтобы гарантировать, что сертификат, представленный клиентом, может использоваться для намеченной функции. Часть большего количества общего использования включает проверку подлинности сервера, аутентификацию клиента, IPSEC VPN и электронную почту. С точки зрения ISE более обычно используемые значения EKU включают сервер и/или аутентификацию клиента.

Когда вы переходите к безопасному веб-сайту банка, например, Web-сервер, который обрабатывает запрос, настроен с сертификатом, который имеет правило приложений проверки подлинности сервера. Когда сервер получает Запрос HTTPS, он передает сертификат проверки подлинности сервера к соединяющемуся web-браузеру для аутентификации. Важный момент здесь - то, что это - однонаправленный обмен от сервера до клиента. Поскольку это касается ISE, общее использование для сертификата проверки подлинности сервера является доступом к ГИП admin. ISE передает настроенный сертификат к связанному браузеру и не ожидает получать сертификат назад от клиента.

Когда дело доходит до сервисов, таких как BYOD, которые используют EAP-TLS, предпочтена обоюдная проверка подлинности. Для включения этого двунаправленного обмена сертификата, шаблон, используемый для генерации сертификата идентификации ISE, должен обладать минимальным правилом приложений проверки подлинности сервера. Шаблон сертификата Web-сервера удовлетворяет это требование. Шаблон сертификата, который генерирует сертификаты оконечной точки, должен содержать минимальное правило приложений аутентификации клиента. Шаблон Сертификата пользователя удовлетворяет это требование. При использовании Версию 1.1.x ISE или ранее, при настройке ISE для сервисов, таких как Встроенная Точка Принудительной политики (iPEP), шаблон, используемый для генерации сертификата идентификации сервера ISE, должен содержать оба атрибута аутентификации клиента и сервера. Это позволяет admin и встроенным узлам взаимно подтверждать подлинность друг друга. Проверка EKU для iPEP была удалена в Версии 1.2 ISE, которая делает это требование менее релевантным.

Можно снова использовать Microsoft CA Web Server по умолчанию и Шаблоны пользователя, или можно клонировать и создать новый шаблон с процессом, который выделен в этом документе. Основанный на этих требованиях сертификата, конфигурация CA и результирующий ISE и сертификаты оконечной точки должны быть тщательно запланированы для уменьшения любых изменений нежелательной конфигурации, когда установлено в производственной среде.

Конфигурация шаблона сертификата

Как обращено внимание во введении, SCEP широко используется в средах IPSEC VPN. В результате установка роли NDES автоматически настраивает сервер для использования IPSec (Офлайновый Запрос) шаблон для SCEP. Из-за этого один из первых шагов в подготовке Microsoft CA для BYOD должен создать новый шаблон с политикой соответствующего приложения. В автономном развертывании Центр сертификации и сервисы NDES расположены на том же сервере, и шаблоны и требуемые модификации реестра содержатся к тому же серверу. В распределенных развертываниях NDES модификации реестра сделаны на сервере NDES; однако, фактические шаблоны определены на root или сервере подузла CA, заданном в сервисной установке NDES.

Выполните эти шаги для настройки Шаблона сертификата:

  1. Войдите в систему сервера CA как admin.

  2. Нажмите Start> Administrative Tools  > Certification Authority.

  3. Разверните подробные данные сервера CA и выберите папку Certificate Templates. Эта папка содержит список шаблонов, которые в настоящее время включаются.

  4. Для управления шаблонами сертификата, щелкают правой кнопкой мыши на папке Certificate Templates и для выбора Manage.

  5. В Консоли Шаблонов сертификата отображены много неактивных шаблонов.

  6. Для настройки нового шаблона для использования с SCEP щелкните правой кнопкой мыши на шаблоне, который уже существует, такие как Пользователь, и выберите Duplicate Template.

  7. Выберите Windows 2003 или Windows 2008, зависящий от минимума CA ОС в среде.

  8. На Вкладке Общие добавьте название показа, такое как ISE-BYOD и период достоверности; оставьте все другие опции неконтролируемыми.

    Примечание: Период достоверности шаблона должен быть меньше чем или равен периоду достоверности root CA и промежуточных сертификатов.

  9. Щелкните по вкладке Subject Name и подтвердите, что выбрано Предоставление в запросе.

  10. Щелкните по вкладке Issuance Requirements. Cisco рекомендует оставить политику Выпуска , незаполненную в типичной иерархической среде CA.

  11. Щелкните по вкладке Extensions, Правилам приложений, и затем Отредактируйте.

  12. Нажмите Add и гарантируйте, что Аутентификация клиента добавлена как правило приложений. Нажмите кнопку ОК.

  13. Щелкните по Вкладке Безопасность, и затем Добавьте.... Гарантируйте, что учетная запись сервиса SCEP, определенная в сервисной установке NDES, имеет полный контроль над шаблоном, и затем нажмите OK.

  14. Возвратитесь к графическому интерфейсу пользователя (GUI) Центра сертификации.

  15. Щелкните правой кнопкой мыши на каталоге Certificate Templates. Перейдите к Новому > Шаблон сертификата для Запуска.

  16. Выберите шаблон ISE-BYOD, настроенный ранее, и нажмите OK.

    Примечание: Также можно включить шаблон через CLI с certutil-SetCAtemplates, +ISE-BYOD дают команду.


    Шаблон ISE-BYOD должен теперь быть перечислен во включенном списке шаблона сертификата.

Конфигурация реестра шаблона сертификата

Выполните эти шаги для настройки Ключей реестра Шаблона сертификата:

  1. Соединитесь с сервером NDES.

  2. Нажмите Start и введите regedit в панель поиска.

  3. Перейдите к Компьютеру> HKEY_LOCAL_MACHINE> ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ> Microsoft> Криптография> MSCEP.

  4. Измените EncryptionTemplate, GeneralPurposeTemplate и ключи SignatureTemplate от IPSec (Офлайновый Запрос) к  созданному на предыдущем этапе шаблону ISE-BYOD.

  5. Перезагрузите сервер NDES для применения настройки реестра.

 

Настройте ISE как прокси SCEP

В развертываниях BYOD оконечная точка не передает непосредственно с бэкэндом сервер NDES. Вместо этого узел политики ISE настроен, поскольку SCEP проксирует, и связывается с сервером NDES от имени оконечных точек. Оконечные точки связываются непосредственно с ISE. Экземпляр IIS на сервере NDES может быть настроен для поддержки HTTP и/или связываний HTTPS для виртуальных каталогов SCEP.

Выполните эти шаги для настройки ISE как Прокси SCEP:

  1. Войдите в GUI ISE с учетными данными admin.

  2. Нажмите Administration, Certificates, и затем SCEP CA Профили.

  3. Нажмите кнопку Add.

  4. Введите имя сервера и описание.

  5. Введите URL для сервера SCEP с IP или Полным доменным именем (FQDN) (http://10.10.10.10/certsrv/mscep/, например).

  6. Нажмите Test Connectivity. Успешное подключение приводит к успешному всплывающему сообщению ответа сервера.

  7. Нажмите Save для применения конфигурации.

  8. Для подтверждения нажмите Administration, Certificates, Certificate Store, и подтвердите, что SCEP сертификат RA сервера NDES был автоматически загружен к узлу ISE.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

Общие примечания устранения неполадок

Вот список важных замечаний, которые можно использовать для устранения проблем конфигурации:

  • Сломайте топологию сети BYOD в логический waypoints, чтобы помочь определять отладку и точки перехвата вдоль пути между ISE, NDES, и CA оконечными точками.

  • Гарантируйте, что узел ISE и CA совместно использует Протокол времени общей сети (NTP) источник времени.

  • Оконечные точки должны быть в состоянии установить свое время автоматически с NTP и опциями часового пояса, изученными из DHCP.

  • Сервер DNS клиента должен быть в состоянии решить FQDN узла ISE.

  • Гарантируйте, что TCP 80 и/или TCP 443 разрешены двунаправленным образом между ISE и сервером NDES.

  • Тест с машиной Windows из-за улучшенной регистрации клиентской стороны. Дополнительно, используйте продукт компании Apple Apple вместе со Служебной программой конфигурации iPhone Apple для мониторинга console log клиентской стороны.

  • Контролируйте CA и журналы серверного приложения NDES для ошибок регистрации, и используйте Google или TechNet для исследования тех ошибок.

  • Всюду по этапу тестирования используйте HTTP для SCEP для упрощения захватов пакета между ISE, NDES, и Приблизительно

  • Используйте утилиту TCP Dump на Узле сервиса политики (PSN) ISE и трафик монитора к и от сервера NDES. Это расположено при Операциях > Инструменты диагностики > Общие средства.

  • Wireshark установки на CA и сервере NDES или SPAN использования на посреднических коммутаторах, для получения трафика SCEP к и от PSN ISE.

  • Гарантируйте, что соответствующая цепочка сертификата CA установлена на узле политики ISE для аутентификации сертификатов клиента.

  • Гарантируйте, что соответствующая цепочка сертификата CA автоматически установлена на клиенты во время onboarding.

  • Предварительно просмотрите ISE и сертификаты идентификации оконечной точки и подтвердите, что присутствуют корректные атрибуты EKU.

  • Контролируйте оперативная аутентификация входит в GUI ISE для сбоев проверки подлинности и авторизация.

    Примечание: Если неправильный EKU присутствует, такие как сертификат клиента с EKU проверки подлинности сервера, некоторые соискатели не инициализируют обмен сертификата клиента. Поэтому ошибки проверки подлинности не могли бы всегда присутствовать в журналах ISE.

  • Когда NDES будет установлен в распределенном развертывании, удаленный root или подузел CA будут определяться Названием CA или Именем компьютера в сервисной установке. Сервер NDES передает запросы регистрации сертификата к этой цели CA сервер. Если процесс регистрации сертификата оконечной точки отказывает, захваты пакета (PCAP) могли бы показать, что сервер NDES возвращает 404 Не Найденная ошибка к узлу ISE. Для решения этого вопроса повторно установите сервис NDES и выберите опцию Computer Name вместо Названия CA.

  • Избегите изменений к SCEP CA цепочка после того, как устройства будут onboarded. OSs оконечной точки, такое как iOS Apple, автоматически не обновляет ранее установленный профиль BYOD. В этом примере iOS текущий профиль должен быть удален из оконечной точки и оконечной точки, удаленной из базы данных ISE, так, чтобы onboarding мог быть выполнен снова.

  • Можно настроить Сервер сертификатов Microsoft, чтобы соединиться с Интернетом и автоматически обновить сертификаты от Microsoft Root Certificate Program. При настройке этой сетевой опции извлечения в средах с ограниченной интернет-политикой серверы CA/NDES, которые не могут соединиться с Интернетом, могут занять 15 секунд к таймауту по умолчанию. Это может добавить 15-секундную задержку к обработке запросов SCEP от прокси SCEP, таких как ISE. ISE запрограммирован, чтобы к запросам SCEP таймаута после 12 секунд, если не получен ответ. Для решения этого вопроса, или разрешают доступ в Интернет для серверов CA/NDES, или для изменения Сетевых настроек времени ожидания Извлечения в политике локального уровня безопасности серверов Microsoft CA/NDES. Для определения местоположения этой конфигурации на сервере Microsoft перейдите к Пуску> Средства администрирования> Политика Локального уровня безопасности> Политика С открытым ключом> Параметры настройки Проверки пути Сертификата> Сетевое Извлечение.  

Регистрация клиентской стороны

Вот список полезных способов, которые используются для решения проблем регистрации клиентской стороны:

  • Введите Регистрационный %temp %\spwProfileLog.txt. дайте команду для просмотра журналов клиентской стороны для Приложений Windows Mircosoft.

    Примечание: WinHTTP используется для соединения между оконечной точкой Microsoft Windows и ISE. Сошлитесь  на статью Microsoft Windows Error Messages для списка кодов ошибки.

  • Введите команду/sdcards/downloads/spw.log для просмотра журналов клиентской стороны для приложений Android.  

  • Для MAC OSX используйте Консольное приложение и ищите  процесс SPW.

  • Для iOS Apple используйте Служебную программу конфигурации iPhone (iPCU) для просмотра сообщений.

Регистрация ISE

Выполните эти шаги для просмотра журнала ISE:

  1. Перейдите к администрированию > Регистрация > Конфигурация Журнала Отладки и выберите соответствующий узел политики ISE.

  2. Заставьте клиент и обеспечивающие журналы отлаживать или отслеживать, как требуется.

  3. Воспроизведите проблему и документ соответствующая инициирующая информация для упрощения поиска, такого как MAC, IP и пользователь.

  4. Перейдите к Операциям > Журналы Загрузок и выберите соответствующий узел ISE.

  5. На вкладке Debug Logs загрузите журналы, названные ise-psc.log к рабочему столу.

  6. Используйте умного редактора, такого как Блокнот ++ для парсинга файлов журнала.

  7. Когда проблема будет изолирована, затем возвратите регистрационные уровни к уровню по умолчанию.

Регистрация NDES и устранение проблем

Для получения дополнительной информации обратитесь к AD CS: статья Troubleshooting Network Device Enrollment Service Windows Server.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.