Renueve el certificado del RA SCEP en el ANUNCIO 2012 del Servidor Windows usado para BYOD en ISE
Contenido
Introducción
Este documento describe cómo renovar dos Certificados que se utilicen para el protocolo simple certificate enrollment (SCEP): Intercambie el certificado del agente de la inscripción y del cifrado CEP en el Microsoft Active Directory 2012.
Prerequisites
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
- Conocimiento básico de la configuración del Microsoft Active Directory
- Conocimiento básico de la clave pública Infrastracture (PKI)
- Conocimiento básico del Identity Services Engine (ISE)
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Versión 2.0 del Cisco Identity Services Engine
- R2 del Microsoft Active Directory 2012
Problema
Cisco ISE utiliza el protocolo SCEP para soportar el registro del dispositivo personal (BYOD onboarding). Al usar un externo SCEP CA, este CA es definido por un perfil SCEP RA en el ISE. Cuando se crea un perfil SCEP RA, dos Certificados se agregan automáticamente al almacén de los certificados confiables:
- Certificado raíz de CA,
- Certificado RA (autoridad de registro) que es firmado por CA.
El RA es responsable de recibir y de validar la petición del dispositivo de registro, y de remitirla a CA que publique el certificado del cliente.
Cuando expira el certificado RA, no se renueva automáticamente en el lado de CA (Servidor Windows 2012 en este ejemplo). Eso se debe hacer manualmente por el administartor activo Directory/CA.
Aquí está el ejemplo cómo alcanzar eso en el r2 del Servidor Windows 2012.
El SCEP inicial certifica visible en el ISE:
La suposición es que el CERTIFICADO MSCEP-RA está expirado y tiene que ser renovado.
Solución
1. Identifique las viejas claves privadas
Encuentre las claves del privite asociadas a los Certificados RA en el Active Directory usando la herramienta del certutil. Eso localiza después el contenedor de claves.
certutil -store MY %COMPUTERNAME%-MSCEP-RA
Observe por favor que si el nombre de su certificado inicial MSCEP-RA es diferente entonces debe ser ajustado en esta petición. Sin embargo, por abandono debe contener el nombre de computadora.
2. Viejas claves privadas de la cancelación
Borre referir las claves manualmente de la carpeta abajo:
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
3. Borre los viejos ceritificates MSCEP-RA
Después de borrar las claves privadas, quite los ceritificates MSCEP-RA de la consola MMC.
El MMC > el archivo > Add/quitan Broche-en… > Add “Ceritificates” > cuenta > computadora local de la Computadora
4. Genere los nuevos Certificados para el SCEP
4.1. Genere el certificado de la inscripción del intercambio
4.1.1. Cree un archivo cisco_ndes_sign.inf con el contenido abajo. Esta información es utilizada más adelante por el certreq.exetool para generar el pedido de firma de certificado (CSR):
[NewRequest] Subject = “CN=NEW-MSCEP-RA,OU=Cisco,O=Systems,L=Krakow,S=Malopolskie,C=PL” Exportable = TRUE KeyLength = 2048 KeySpec = 2 KeyUsage = 0x80 MachineKeySet = TRUE ProviderName = “Microsoft Enhanced Cryptographic Provider v1.0″ ProviderType = 1 [EnhancedKeyUsageExtension] OID = 1.3.6.1.4.1.311.20.2.1 [RequestAttributes] CertificateTemplate = EnrollmentAgentOffline
4.1.2. Cree el CSR basado en el archivo del .INF con este comando:
certreq -f -new cisco_ndes_sign.inf cisco_ndes_sign.req
Si el usuario amonestador del diálogo que plantilla del contexto está en conflicto con el contexto de la máquina surge, hace clic la AUTORIZACIÓN. Esta advertencia puede ser ignorada.
4.1.3. Someta el CSR con este comando:
certreq -submit cisco_ndes_sign.req cisco_ndes_sign.cer
Durante este procedimiento una ventana surge y CA apropiado tiene que ser elegido.
4.1.4 Valide el certificado publicado en el paso anterior. Como resultado de este comando, el nuevo certificado se importa y se mueve al almacén personal de la computadora local:
certreq -accept cisco_ndes_sign.cer
4.2. Genere el certificado del cifrado CEP
4.2.1. Cree un nuevo archivo cisco_ndes_xchg.inf:
[NewRequest] Subject = "CN=NEW-MSCEP-RA,OU=Cisco,O=Systems,L=Krakow,S=Malopolskie,C=PL" Exportable = TRUE KeyLength = 2048 KeySpec = 1 KeyUsage = 0x20 MachineKeySet = TRUE ProviderName = “Microsoft RSA Schannel Cryptographic Provider” ProviderType = 12 [EnhancedKeyUsageExtension] OID = 1.3.6.1.4.1.311.20.2.1 [RequestAttributes] CertificateTemplate = CEPEncryption
Siga los mismos pasos según lo descrito en 4.1.
4.2.2. Genere un CSR basado en el nuevo archivo del .INF:
certreq -f -new cisco_ndes_xchg.inf cisco_ndes_xchg.req
4.2.3. Someta la petición:
certreq -submit cisco_ndes_xchg.req cisco_ndes_xchg.cer
4.2.4: Valide el nuevo certificado trasladándose lo al almacén personal de la computadora local:
certreq -accept cisco_ndes_xchg.cer
5. Verificación
Después de completar el paso 4, dos nuevos Certificados MSCEP-RA aparecerán en el almacén personal de la computadora local:
También usted puede verificar los Certificados con la herramienta certutil.exe (aseegurese le utilizar el nuevo nombre correcto del certificado). Los Certificados MSCEP-RA con los nuevos nombres comunes y los nuevos números de serie deben ser visualizados:
certutil -store MY NEW-MSCEP-RA
6. Reiniciar IIS
Servidor de los Servicios de Internet Information Server del reinicio (IIS) para aplicar los cambios:
iisreset.exe
7. Cree el nuevo perfil SCEP RA
En el ISE cree un nuevo perfil SCEP RA (con el mismo servidor URL que el viejo), así que los nuevos Certificados se descargan y se agregan a los certificados confiables el almacén:
8. Modifique el Certificate Template plantilla de certificado
Aseegurese el nuevo perfil SCEP RA se especifica en el Certificate Template plantilla de certificado usado por BYOD (usted puede marcarlo en la administración > el sistema > los Certificados > el Certificate Authority > las plantillas de los Certificados):
Referencias
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)