ISE 2.0 : Portail de ravitaillement de certificat

Options de téléchargement

PDF (1.6 MB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d’appareils
ePub (1.3 MB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (1.1 MB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:22 juin 2016

ID du document:200534

À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Contenu

Introduction

Conditions préalables

Conditions requises

Composants utilisés

Informations générales

Configurez

Vérifiez

Dépannez

Introduction

Ce document décrit la configuration et la fonctionnalité du portail de ravitaillement de certificat du Cisco Identity Services Engine (ISE).

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

ISE
Certificats et serveurs d'Autorité de certification (CA).

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

Engine 2.0 de gestion d'identité
PC de Windows 7

Informations générales

Le portail de ravitaillement de certificat est une nouvelle fonctionnalité introduite dans ISE 2.0 qui peut être utilisé par des périphériques d'extrémité pour s'inscrire et télécharger des certificats d'identité de serveur. Il fournit des Certificats aux périphériques qui ne peuvent pas passer par l'écoulement onboarding.

Par exemple, les périphériques tels que les terminaux sur le point ne peuvent pas subir BYOD circulent et doivent être les Certificats délivrés manuellement.

Le portail de ravitaillement de certificat permet à un ensemble privilégié d'utilisateurs pour télécharger une demande de certificat (CSR) de tels périphériques ; générez les paires de clés, et puis téléchargez le certificat.

Sur ISE, nous pouvons créer les modèles modifiés de certificat et les utilisateurs peuvent sélectionner un modèle approprié de certificat pour télécharger un certificat. Pour ces Certificats, ISE agit en tant que serveur d'Autorité de certification (CA) et nous pouvons obtenir le certificat signé par ISE CA interne.

Téléchargement portail de certificat de supports de ravitaillement de certificat ISE 2.0 dans ces formats :

Format PKCS12 (chaîne de certificat y compris ; un fichier pour la chaîne et la clé de certificat)
Format PKCS12 (un fichier pour le certificat et la clé)
Le certificat (chaîne y compris) dans l'intimité a amélioré le format du courrier électronique (PEM), clé dans le format PEM PKCS8.
Certificat dans le format PEM, clé dans le format PEM PKCS8 :

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Afin d'utiliser la caractéristique du ravitaillement de certificat dans le réseau, le service interne ISE CA doit être activé et un portail provisoning de certificat devrait être configuré.

Étape 1. Sur le GUI ISE, naviguez vers la gestion > le système > les Certificats > l'autorité de certification > CA interne et pour activer les configurations internes CA sur le noeud ISE, autorité de certification d'enable de clic.

Étape 2. Créez les modèles de certificat sous la gestion > le système > les Certificats > les modèles de certificat > ajoutent.

Écrivez les détails selon la condition requise et cliquez sur Submit, suivant les indications de cette image.

Remarque: Vous pouvez voir la liste de modèles créés de certificat sous la gestion > le système > les Certificats > les modèles de certificat suivant les indications de cette image.

Étape 3. Afin de configurer le portail de ravitaillement de certificat ISE, naviguez vers la Gestion de gestion > de périphérique > le ravitaillement portaiux de certificat > créent.

Étape 4. Sur le nouveau portail de certificat, développez les configurations portailes, suivant les indications de l'image de ths.

Port HTTPS	Port qui devrait être utilisé par le portail de ravitaillement de certificat pour HTTPS.
Interfaces permises	Les interfaces sur lesquelles ISE devrait écouter ce portail.
Balise de groupe de certificat	La balise de certificat à utiliser pour le portail de ravitaillement de certificat qui indique le certificat de sytem à utiliser pour ce portail.
Méthode d'authentification	Nous pouvons sélectionner l'ordre de mémoire d'identité qui authentifiera des procédures de connexion à ce portail. Par défaut le « certificate_request_sequence » est en service.
Groupes autorisés	L'ensemble d'utilisateurs qui peuvent accéder au portail de ravitaillement de certificat peut être contrôlé en déplaçant un ensemble spécifique de groupes d'AD et de groupes d'utilisateur interne à la table « choisie ». Seulement les utilisateurs qui font partie de groupe « choisi » auront accès au portail.
FQDN	Vous pouvez également donner le FQDN de particularité à ce portail. Des utilisateurs parcourant au FQDN utilisant le HTTP/https seront réorientés aux ths portaiux. Le FQDN devrait être seul et non partagé avec n'importe quel autre portail.
Délai d'attente de veille	La valeur définit le délai d'attente de veille pour le portail.

Remarque: La configuration de la source d'identité peut être vérifiée sous l'ordre de source de gestion > de Gestion de l'identité > d'identité.

Étape 5. Configurez les mises en page de procédure de connexion.

Étape 6. Configurez les mises en page AUP.

Étape 7. Vous pouvez également ajouter la bannière de procédure de connexion de courrier.

Étape 8. Sous les configurations portailes de Provisoning de certificat, spécifiez les modèles de certificat qui sont permis.

Étape 9. Défilement jusqu'au dessus de la page et de la sauvegarde de clic pour sauvegarder les modifications.

Supplémentaire, le portail peut être encore personnalisé en naviguant vers l'onglet de personnalisation de page du portail où le texte AUP, le texte de la bannière de procédure de connexion de courrier et d'autres messages peuvent être changés selon les conditions requises.

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

S'ISE est configuré correctement pour le ravitaillement de certificat, un certificat peut être demandé/téléchargé du portail provsioning de certificat ISE avec ces étapes.

Étape 1. Ouvrez le navigateur et parcourez pour délivrer un certificat le FQDN portail de ravitaillement comme configuré ci-dessus ou l'URL de test de ravitaillement de certificat. Vous serez réorienté au portail, suivant les indications de cette image :

Étape 2. Procédure de connexion avec le nom d'utilisateur et mot de passe.

Étape 3. Après l'authentification réussie, recevez l'AUP et il débarque à la page de ravitaillement de certificat.

Étape 4. La page de ravitaillement de certificat fournit la fonctionnalité pour télécharger des Certificats de trois manières :

Choisissez le certificat (sans demande de signature de certificat)
Choisissez le certificat (avec la demande de signature de certificat)
Certificats en vrac

1. Générez le certificat simple sans demande de signature de certificat

Afin de générer un certificat simple sans CSR, sélectionnez l'option simple de certificat de générer (sans demande de signature de certificat).
Écrivez le nom commun (NC).

Remarque: La NC donnée doit apparier le nom d'utilisateur du demandeur. Le demandeur se réfère au nom d'utilisateur utilisé pour ouvrir une session au portail. Seulement les utilisateurs d'admin peuvent créer un certificat pour une NC différente.

Écrivez l'adresse MAC du périphérique pour lequel le certificat est généré.
Choisissez le modèle approprié de certificat.
Choisissez le format désiré dans lequel le certificat devrait être téléchargé.
Entrez un mot de passe de certificat et le clic se produisent.
Un certificat simple est généré et téléchargé avec succès.

2. Générez le certificat simple avec la demande de signature de certificat

Afin de générer un certificat simple sans CSR, sélectionnez l'option simple de certificat de générer (demande de signature de withcertificate).
Copiez et collez le contenu CSR à partir du fichier de Notepad sous des détails de demande de signature de certificat.
Écrivez l'adresse MAC du périphérique pour lequel le certificat est généré.
Choisissez le modèle approprié de certificat.
Choisissez le format désiré dans lequel le certificat devrait être téléchargé.
Entrez un mot de passe de certificat et le clic se produisent.
Un certificat simple sera généré et téléchargé avec succès.

3. Générez les Certificats en vrac

Vous pouvez générer les Certificats en vrac pour des plusieurs adresses MAC si vous téléchargez des fichiers CSV qui contient le champ NC et d'adresse MAC.

Afin de générer un certificat simple sans CSR, sélectionnez l'option simple de certificat de générer (avec la demande de signature de certificat).
Téléchargez le fichier de csv pour la demande en vrac.
Choisissez le modèle approprié de certificat.
Choisissez le format désiré dans lequel le certificat devrait être téléchargé.
Entrez un mot de passe de certificat et le clic se produisent.
Un fichier zip en vrac de certificat est généré et téléchargé.