Безопасность : Платформа Cisco Identity Services Engine

Настройте поддержку SCEP BYOD

28 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (11 апреля 2013) | Отзыв

Введение

Этот документ описывает шаги, и предупреждения потребовали, чтобы успешно развернуть Службу регистрации сетевого устройства (NDES) Microsoft и Простой протокол регистрации сертификата (SCEP) для Принести свое собственное устройство (BYOD).

Внесенный Тоддом Пулой, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Выпуск 1.1.1 Механизма Identity Services (ISE) или позже.
  • Microsoft Windows server 2008 R2.
  • Инфраструктура открытого ключа (PKI) и сертификаты.

Используемые компоненты

  • Выпуск 1.1.1 ISE или позже
  • SP1 R2 Windows Server 2008 года с KB2483564 и заплатами KB2633200 установлен

 Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Информация, отнесенная к службам сертификации Microsoft, предоставлена как руководство в частности для Cisco BYOD. См. TechNet Microsoft как категорический источник истины для центра сертификации MS, Службы регистрации сетевого устройства (NDES), и SCEP отнесся конфигурации сервера.

Общие сведения

Одно из преимуществ поддерживающей ISE реализации Cisco BYOD является возможностью конечных пользователей выполнить регистрацию устройства самообслуживания. Это устраняет административные накладные расходы на IT, чтобы распределить учетные данные для аутентификации и включить устройства в сети. В основе решения BYOD процесс инициализации соискателя сети, который стремится распределить необходимые сертификаты устройствам находившимся в собственности сотрудников. Чтобы удовлетворить это требование, Microsoft Certificate Authority (CA) может быть настроена для автоматизации процесса хранилища сертификатов с SCEP. SCEP использовался в течение многих лет в средах Виртуальной частной сети (VPN) для упрощения хранилища сертификатов и распределения клиентам удаленного доступа и маршрутизаторам. Включение функциональности SCEP на сервере Windows 2008 R2 требует установки NDES. Во время установки роли NDES также установлен Web-сервер Internet Information Services (IIS) Microsoft. IIS используется для завершения HTTP или запросов регистрации SCEP HTTPS и ответов между CA и узел политики ISE. Роль NDES может быть установлена на текущем CA, или она может быть установлена на рядовом сервере. В автономных развертываниях служба NDES установлена на существующем CA, которое включает службу Центра сертификации и, дополнительно, веб-службу Регистрации Центра сертификации. В распределенных развертываниях служба NDES установлена на рядовом сервере. Распределенный сервер NDES тогда настроен для передачи с восходящим root или подузлом CA. В этом сценарии модификации реестра, выделенные в этом документе, сделаны на сервере NDES с настраиваемым шаблоном и сертификатами, находящимися на восходящем CA.

Прежде, чем вы настроите поддержку SCEP BYOD, гарантируете, что серверу Windows 2008 R2 NDES установили эти заплаты Microsoft:

Настройка

Отключите требование пароля вызова регистрации SCEP

По умолчанию SCEP Microsoft (MSCEP) реализация использует динамический пароль вызова для аутентификации клиентов и оконечных устройств в течение процесса хранилища сертификатов. С этим конфигурационным требованием на месте пользователи должны перейти к веб-GUI admin MSCEP на сервере NDES для генерирования пароля по требованию. Как часть запроса регистрации, пользователь должен включать этот пароль.

В развертываниях BYOD требование пароля вызова побеждает цель пользовательского решения самообслуживания. Чтобы удалить это требование, этот ключ реестра должен модифицироваться на сервере NDES:

  1. Нажмите запускают и вводят regedit в панель поиска.
  2. Переместитесь к: Компьютер> HKEY_LOCAL_MACHINE> ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ> Microsoft> Криптография> MSCEP> EnforcePassword.
  3. Гарантируйте, что значение EnforcePassword установлено в "0" (по умолчанию равняется "1").

116068-configure-scep-support-byod-01.png

Как расширить длину URL в IIS

Для ISE возможно генерировать URL, которые являются слишком длинными для Web-сервера IIS. Для ухода от этой проблемы конфигурация IIS по умолчанию может модифицироваться для разрешения более длинных URL.

Примечание. Размер строки запроса мог бы варьироваться зависящий от конфигурации оконечного устройства и ISE. Эта команда должна быть введена от линии команды сервера NDES с администраторскими привилегиями:


%systemroot%\system32\inetsrv\appcmd.exe set config /section:system.webServer/security/
requestFiltering/requestLimits.maxQueryString:"8192" /commit:apphost

116068-configure-scep-support-byod-02.png

Обзор шаблона сертификата

Администраторы Microsoft CA могут настроить один или более шаблонов, которые используются для применения политики приложения к единому набору сертификатов. Эта политика помогает определять то, что функционирует, сертификат и привязанные ключи должны использоваться. Значения политики приложения содержатся в поле Расширенного ключевого использования (EKU) сертификата. Средство проверки подлинности анализирует значения в поле EKU, чтобы гарантировать, что сертификат, представленный клиентом, может использоваться для намеченной функции. Часть большего количества общего использования включает проверку подлинности сервера, аутентификацию клиента, IPSEC VPN, и электронную почту. С точки зрения ISE более обычно используемые значения EKU включают сервер и/или аутентификацию клиента.

Когда вы переходите к безопасному веб-сайту банка, например, Web-сервер, который обрабатывает запрос, настроен с сертификатом с политикой приложения проверки подлинности сервера. Когда сервер получает HTTPS, запрашивают, он передает свой Сертификат проверки подлинности сервера соединяющемуся web-браузеру для аутентификации. Важно вот то, что это - однонаправленный обмен от сервера до клиента. Поскольку это касается ISE, общее использование для Сертификата проверки подлинности сервера является доступом к ГИП admin. ISE передает свой настроенный сертификат связанному браузеру и не ожидает получать сертификат назад от клиента.

Когда дело доходит до служб, таких как BYOD, которые используют EAP-TLS, предпочтена обоюдная проверка подлинности. Чтобы включить этот двунаправленный обмен сертификата, шаблон, используемый для генерирования сертификата идентификации ISE, должен обладать минимальной политикой приложения проверки подлинности сервера. Шаблон сертификата Web-сервера удовлетворяет это требование. Шаблон сертификата, который генерирует сертификаты оконечного устройства, должен содержать минимальную политику приложения аутентификации клиента. Шаблон Сертификата пользователя удовлетворяет это требование. При настройке ISE для служб, таких как Встроенная Точка Принудительной политики (iPEP) шаблон, используемый для генерирования сертификата идентификации сервера ISE, должен содержать оба атрибута аутентификации клиента и сервера. Это позволяет admin и встроенным узлам взаимно подтверждать подлинность друг друга. Оптимальный метод для соответствования требованиям завтрашнего дня развертывания ISE должны гарантировать, что сертификаты идентификации сервера ISE включают оба атрибута аутентификации клиента и сервера. По умолчанию Microsoft CA Web Server и Шаблоны пользователя могут быть снова использованы или новый шаблон, может быть клонирован и создан с процессом, выделенным в этом документе. Основанный на этих требованиях сертификата, CA конфигурация и результирующий ISE и сертификаты оконечного устройства должны быть тщательно запланированы, чтобы минимизировать любую нежелательную конфигурацию, изменяется когда установлено в производственной среде.

116068-configure-scep-support-byod-03.png

Конфигурация шаблона сертификата

Как обращено внимание во введении, SCEP широко используется в средах IPSEC VPN. В результате установка роли NDES автоматически настраивает сервер для использования IPSec (Офлайн Запрашивают), шаблон для SCEP. Из-за этого один из первых шагов в подготовке Microsoft CA для BYOD является к сборке новым шаблоном с корректной политикой приложения. В автономных развертываниях Центр сертификации и службы NDES расположены на том же сервере. В результате шаблоны и требуемые модификации реестра содержатся к тому же серверу. В распределенных развертываниях NDES модификации реестра сделаны на сервере NDES; однако фактические шаблоны определены на root или сервере подузла CA, заданном в сервисной установке NDES.

Вот шаги, используемые, чтобы настроить Шаблон сертификата:

  1. Войдите в систему CA сервера с пользователем с правами администратора.
  2. Нажмите Пуск> Средства администрирования> Центр сертификации.
  3. Разверните CA подробные данные сервера и выберите папку Certificate Templates. Эта папка содержит список шаблонов, в настоящее время включенных.
  4. Чтобы управлять шаблонами сертификата, щелкают правой кнопкой мыши на папке Certificate Templates и выбрать Manage.
  5. В Консоли Шаблонов сертификата отображены много неактивных шаблонов.
  6. Чтобы настроить новый шаблон для использования с SCEP, щелкните правой кнопкой мыши на шаблоне, который уже существует, такие как Пользователь, и выберите Duplicate Template.
  7. Затем выберите Windows 2003 или Windows 2008, зависящий от минимума CA операционная система (OS) в среде.
  8. На Вкладке Общие добавьте название показа, такое как ISE-BYOD и период достоверности; оставьте все другие опции необузданными

    Примечание. Период достоверности шаблона должен быть меньше чем или равным периоду достоверности корневых и промежуточных сертификатов CA.
  9. Щелкните по вкладке Extensions; щелкните по Application Policies; тогда нажмите Edit.
  10. Нажмите Add и гарантируйте, что Аутентификация клиента добавлена как политика приложения. Нажмите кнопку ОК.
  11. Щелкните по Вкладке Безопасность, нажмите Add.... Гарантируйте, что учетная запись службы SCEP, определенная в сервисной установке NDES, имеет полное управление шаблона. Нажмите кнопку ОК.
  12. Возвратитесь к графическому интерфейсу пользователя (GUI) Центра сертификации.
  13. Щелкните правой кнопкой мыши на каталоге Certificate Templates. Переместитесь к Новому> Шаблон сертификата для Издания.
  14. Выберите шаблон ISE-BYOD, настроенный ранее, и нажмите "OK".
  15. Альтернативно, включите шаблон с CLI:
    certutil-SetCAtemplates +ISE-BYOD
  16. Шаблон ISE-BYOD должен теперь быть перечислен во включенном шаблоне сертификата, перечисляют.

Конфигурация реестра шаблона сертификата

Вот шаги, используемые, чтобы настроить Ключи реестра Шаблона сертификата:

  • Соединитесь с сервером NDES.
  • Нажмите запускают и вводят regedit в панель поиска.
  • Переместитесь к: Компьютер> HKEY_LOCAL_MACHINE> ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ> Microsoft> Криптография> MSCEP.
  • Измените EncryptionTemplate, GeneralPurposeTemplate, и ключи SignatureTemplate от IPSec (Офлайн Запрашивают) к шаблону ISE-BYOD, ранее созданному.
  • Перезагрузите сервер NDES, чтобы применить настройку реестра.

116068-configure-scep-support-byod-04.png

Настройте ISE как прокси SCEP

В развертываниях BYOD оконечное устройство не передает непосредственно с бэкэндом сервер NDES. Вместо этого узел политики ISE настроен как прокси SCEP и связывается с сервером NDES от имени оконечных устройств. Оконечные устройства связываются непосредственно с ISE. Экземпляр IIS на сервере NDES может быть настроен для поддержки HTTP и/или связываний HTTPS для виртуальных каталогов SCEP.

Вот шаги, чтобы настроить ISE как Прокси SCEP:

  1. Журнал в GUI ISE с учетными данными admin.
  2. Щелкните по Администрированию> Сертификаты>, SCEP CA Представляет.
  3. Нажмите Add.
  4. Введите имя сервера и описание.
  5. Введите URL для сервера SCEP с IP или полным доменным именем (FQDN), например, http://10.10.10.10/certsrv/mscep/
  6. Нажмите тестовое подключение.
  7. Успешное подключение приводит к успешному всплывающему сообщению ответа сервера.
  8. Нажмите Сохраняют для применения конфигурации.
  9. Чтобы проверить, щелкните по Administration> Certificates> Certificate Store и подтвердите, что SCEP сертификат RA сервера NDES был автоматически загружен к узлу ISE.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

  • Разбейте топологию сети BYOD на логический waypoints, чтобы помочь определять отладку и точки перехвата вдоль пути между этими оконечными устройствами - ISE, NDES, и CA.
  • Гарантируйте, что TCP 80 и/или TCP 443 разрешены двунаправленным образом между ISE и сервером NDES.
  • Тест с машиной Windows из-за улучшенной регистрации клиентской стороны.
  • Контролируйте CA и журналы серверного приложения NDES для ошибок регистрации и используйте Google или TechNet для исследования тех ошибок.
  • Всюду по этапу тестирования используйте HTTP для SCEP, чтобы упростить захваты пакета между ISE, NDES, и CA.
  • Используйте утилиту TCP Dump на PSN ISE и трафике монитора к и от сервера NDES. Это располагается при Операциях> Инструменты диагностики> Общие средства.
  • Установите Wireshark на CA и сервер NDES или используйте SPAN на посреднических коммутаторах, чтобы перехватить трафик SCEP к и от PSN ISE.
  • Гарантируйте, что соответствующая цепочка сертификата ЦС установила на узле политики ISE для аутентификации сертификатов клиента.
  • Гарантируйте, что соответствующая цепочка сертификата ЦС автоматически установлена на клиенты во время onboarding.
  • Предварительно просмотрите ISE и сертификаты идентификации оконечного устройства и подтвердите, что присутствуют корректные атрибуты EKU.
  • Контролируйте оперативная аутентификация входит GUI ISE для сбоев проверки подлинности и авторизация.

    Примечание. Если неправильный EKU присутствует, например, сертификат клиента с EKU проверки подлинности сервера, некоторые соискатели не калибруют обмен сертификата клиента. Поэтому, ошибки проверки подлинности не могли бы всегда присутствовать в журналах ISE.
  • Когда NDES будет установлен в распределенных развертываниях, удаленный root или подузел CA будут определяться CA Названием или Именем компьютера в сервисной установке. Сервер NDES передает запросы регистрации сертификата этой цели CA сервер. Если процесс регистрации сертификата оконечного устройства отказывает, захваты пакета (PCAP) могли бы показать, что сервер NDES возвращает 404 Не Найденная ошибка к узлу ISE. В попытке решить, повторно установите службу NDES и выберите опцию Computer Name вместо CA Название.

Регистрация клиентской стороны

Регистрация ISE

Используйте эти шаги, чтобы просмотреть журнал ISE:

  • Переместитесь к Администрированию> Регистрация> Конфигурация Журнала Отладки и выберите соответствующий узел политики ISE.
  • Заставьте эти журналы отлаживать или отслеживать как требуется: клиент, обеспечивая.
  • Воспроизведите проблему и документ соответствующая инициирующая информация, чтобы упростить поиск, такой как MAC, IP, пользователь, и т.д.
  • Переместитесь к Операциям> Журналы Загрузок и выберите соответствующий узел ISE.
  • На вкладке Debug Logs загрузите журналы, названные ise-psc.log к рабочему столу.
  • Используйте умного редактора, такого как Блокнот ++, чтобы проанализировать файлы журнала.
  • Когда проблема была отдельной, затем возвратите регистрационные уровни к их уровню по умолчанию.

Регистрация NDES и устранение неисправностей

Для получения дополнительной информации обратитесь к NDES регистрирующую и устраняющую неполадки документацию относительно TechNet.

Дополнительные сведения


Сообщество Cisco Support - Избранные темы

Сообщество Cisco Support - это форум, на котором вы можете задавать свои вопросы и отвечать на вопросы других, предлагать решения и сотрудничать с коллегами. Вот несколько последних и важных тем, представленных на нашем форуме.


Document ID: 116068