Configurez le portail de ravitaillement de certificat ISE 2.0

Introduction

Ce document décrit la configuration et la fonctionnalité du portail de ravitaillement de certificat du Cisco Identity Services Engine (ISE).

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• ISE
• Certificats et serveurs d'Autorité de certification (CA).

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Engine 2.0 de gestion d'identité
• PC de Windows 7

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est vivant, assurez-vous que vous comprenez l'impact potentiel de n'importe quelle commande.

Informations générales

Le portail de ravitaillement de certificat est une nouvelle fonctionnalité introduite dans ISE 2.0 qui peut être utilisé par des périphériques d'extrémité pour s'inscrire et télécharger des certificats d'identité de serveur. Il fournit des Certificats aux périphériques qui ne peuvent pas passer par l'écoulement onboarding.

Par exemple, les périphériques tels que les terminaux sur le point ne peuvent pas subir l'écoulement de Bring Your Own Device (BYOD) et devoir être les Certificats délivrés manuellement.

Le portail de ravitaillement de certificat permet à un ensemble privilégié d'utilisateurs pour télécharger une demande de certificat (CSR) de tels périphériques ; générez les paires de clés, et puis téléchargez le certificat.

Sur ISE, vous pouvez créer les modèles modifiés de certificat et les utilisateurs peuvent sélectionner un modèle approprié de certificat pour télécharger un certificat. Pour ces Certificats, ISE agit en tant que serveur d'Autorité de certification (CA) et nous pouvons obtenir le certificat signé par ISE CA interne.

Téléchargement portail de certificat de supports de ravitaillement de certificat ISE 2.0 dans ces formats :

• Format PKCS12 (chaîne de certificat y compris ; un fichier pour la chaîne et la clé de certificat)
• Format PKCS12 (un fichier pour le certificat et la clé)
• Le certificat (chaîne y compris) dans l'intimité a amélioré le format du courrier électronique (PEM), clé dans le format PEM PKCS8.
• Certificat dans le format PEM, clé dans le format PEM PKCS8 :

Limites 

Actuellement ISE prend en charge seulement ces extensions dans un CSR pour signer un certificat.

• subjectDirectoryAttributes
• subjectAlternativeName
• keyUsage
• subjectKeyIdentifier
• auditIdentity
• extendedKeyUsage
• CERT_TEMPLATE_OID (c'est un OID fait sur commande pour spécifier le modèle qui est utilisé habituellement dans BYOD circule)

Note: ISE CA interne est conçu pour prendre en charge les caractéristiques qui utilisent des Certificats tels que BYOD et par conséquent les capacités sont limitées. Utilisant ISE comme entreprise le CA n'est pas recommandé de Cisco.

Configurez

Afin d'utiliser la caractéristique du ravitaillement de certificat dans le réseau, le service interne ISE CA doit être activé et un portail de ravitaillement de certificat devrait être configuré.

Le GUI de l'étape 1.On ISE, naviguent vers la gestion > le système > les Certificats > l'autorité de certification > CA interne et pour activer les configurations internes CA sur le noeud ISE, autorité de certification d'enable de clic.

Étape 2. Créez les modèles de certificat sous la gestion > le système > les Certificats > les modèles de certificat > ajoutent.

Écrivez les détails selon la condition requise et cliquez sur Submit, suivant les indications de cette image.

Note: Vous pouvez voir la liste de modèles créés de certificat sous la gestion > le système > les Certificats > les modèles de certificat suivant les indications de cette image.

Étape 3. Afin de configurer le portail de ravitaillement de certificat ISE, naviguez vers la Gestion de gestion > de périphérique > le ravitaillement portaiux de certificat > créent, suivant les indications de l'image :

Étape 4. Sur le nouveau portail de certificat, développez les configurations portailes, suivant les indications de l'image.

Port HTTPS	Port qui devrait être utilisé par le portail de ravitaillement de certificat pour HTTPS.
Interfaces permises	Les interfaces sur lesquelles ISE devrait écouter ce portail.
Balise de groupe de certificat	La balise de certificat à utiliser pour le portail de ravitaillement de certificat qui indique le certificat de système à utiliser pour ce portail.
Méthode d'authentification	Sélectionnez l'ordre de mémoire d'identité qui authentifie la procédure de connexion à ce portail. Par défaut le certificate_request_sequence est en service.
Groupes autorisés	L'ensemble d'utilisateurs qui peuvent accéder au portail de ravitaillement de certificat peut être contrôlé en déplaçant un ensemble spécifique de groupes d'AD et de groupes d'utilisateur interne à la table choisie. Seulement les utilisateurs qui font partie de groupe choisi a accès au portail.
Entièrement - nom qualifié de Domanin (FQDN)	Vous pouvez également donner le FQDN de particularité à ce portail. Des utilisateurs parcourant au FQDN utilisant le HTTP/https est réorientés aux ths portaiux. Le FQDN devrait être seul et non partagé avec n'importe quel autre portail.
Délai d'attente de veille	La valeur définit le délai d'attente de veille pour le portail.

Note: La configuration de la source d'identité peut être vérifiée sous l'ordre de source de gestion > de Gestion de l'identité > d'identité.

Étape 5. Configurez les mises en page de procédure de connexion.

Mises en page AUP de l'étape 6.Configure.

Étape 7. Vous pouvez également ajouter la bannière de procédure de connexion de courrier.

Étape 8. Sous les configurations portailes de ravitaillement de certificat, spécifiez les modèles de certificat qui sont permis.

Étape 9. Défilement jusqu'au dessus de la page et de la sauvegarde de clic pour sauvegarder les modifications.

Supplémentaire, le portail peut être encore personnalisé en naviguant vers l'onglet de personnalisation de page du portail où le texte AUP, le texte de la bannière de procédure de connexion de courrier et d'autres messages peuvent être changés selon les conditions requises.

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

S'ISE est configuré correctement pour le ravitaillement de certificat, un certificat peut être demandé/téléchargé du portail de ravitaillement de certificat ISE avec ces étapes.

Étape 1. Ouvrez le navigateur et parcourez pour délivrer un certificat le FQDN portail de ravitaillement comme configuré ci-dessus ou l'URL de test de ravitaillement de certificat. Vous êtes réorienté au portail, suivant les indications de cette image :

Étape 2. Procédure de connexion avec le nom d'utilisateur et mot de passe.

Étape 3. Après l'authentification réussie, recevez l'AUP et il débarque à la page de ravitaillement de certificat.

Étape 4. La page de ravitaillement de certificat fournit la fonctionnalité pour télécharger des Certificats de trois manières :

• Choisissez le certificat (sans demande de signature de certificat)
• Choisissez le certificat (avec la demande de signature de certificat)
• Certificats en vrac

Générez le certificat simple sans demande de signature de certificat

• Afin de générer un certificat simple sans CSR, sélectionnez l'option simple de certificat de générer (sans demande de signature de certificat).
  
  
• Écrivez le nom commun (NC).

Note: La NC donnée doit apparier le nom d'utilisateur du demandeur. Le demandeur se réfère au nom d'utilisateur utilisé pour ouvrir une session au portail. Seulement les utilisateurs d'admin peuvent créer un certificat pour une NC différente.

• Écrivez l'adresse MAC du périphérique pour lequel le certificat est généré.
  
  
• Choisissez le modèle approprié de certificat.
  
  
• Choisissez le format désiré dans lequel le certificat devrait être téléchargé.
  
  
• Entrez un mot de passe de certificat et le clic se produisent.
  
  
• Un certificat simple est généré et téléchargé avec succès.
  
  

Générez le certificat simple avec la demande de signature de certificat

• Afin de générer un certificat simple sans CSR, sélectionnez l'option simple de certificat de générer (demande de signature de withcertificate).
  
  
• Copiez et collez le contenu CSR à partir du fichier de Notepad sous des détails de demande de signature de certificat.
  
  
• Écrivez l'adresse MAC du périphérique pour lequel le certificat est généré.
  
  
• Choisissez le modèle approprié de certificat.
  
  
• Choisissez le format désiré dans lequel le certificat devrait être téléchargé.
  
  
• Entrez un mot de passe de certificat et le clic se produisent.
  
  
• Un certificat simple sera généré et téléchargé avec succès.
  
  

Générez les Certificats en vrac

Vous pouvez générer les Certificats en vrac pour des plusieurs adresses MAC si vous téléchargez des fichiers CSV qui contient le champ NC et d'adresse MAC.

Note: La NC donnée doit apparier le nom d'utilisateur du demandeur. Le demandeur se réfère au nom d'utilisateur utilisé pour ouvrir une session au portail. Seulement les utilisateurs d'admin peuvent créer un certificat pour une NC différente.

• Afin de générer un certificat simple sans CSR, sélectionnez l'option simple de certificat de générer (avec la demande de signature de certificat).
  
  
• Téléchargez le fichier de csv pour la demande en vrac.
  
  
• Choisissez le modèle approprié de certificat.
• Choisissez le format désiré dans lequel le certificat devrait être téléchargé.
  
  
• Entrez un mot de passe de certificat et le clic se produisent.
  
  
• Un fichier zip en vrac de certificat est généré et téléchargé.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.