Renouvelez le certificat de RA SCEP sur l'AD 2012 de Windows Server utilisé pour BYOD sur ISE
Introduction
Ce document décrit comment renouveler deux Certificats qui sont utilisés pour l'inscription de certificat simple Protocol (SCEP) : Permutez le certificat d'agent d'inscription et de cryptage de CÈPE sur la Microsoft Active Directory 2012.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Connaissance de base de configuration de Microsoft Active Directory
- Connaissance de base de clé publique Infrastracture (PKI)
- Connaissance de base du Cisco Identity Services Engine (ISE)
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Version 2.0 de Logiciel Cisco Identity Services Engine
- Microsoft Active Directory 2012 R2
Problème
Cisco ISE emploie le protocole SCEP pour prendre en charge l'enregistrement personnel de périphérique (BYOD onboarding). En utilisant un SCEP externe CA, ce CA est défini par un profil de RA SCEP sur ISE. Quand un profil de RA SCEP est créé, deux Certificats sont automatiquement ajoutés à la mémoire de Certificats de confiance :
- Certificat racine CA,
- Certificat de RA (autorité d'enregistrement) qui est signé par le CA.
Le RA est responsable de recevoir et de valider la demande du périphérique de enregistrement, et de l'expédier au CA qui délivre le certificat client.
Quand le certificat de RA expire, il n'est pas renouvelé automatiquement du côté CA (Windows Server 2012 dans cet exemple). Cela devrait être manuellement fait par l'administartor actif Directory/CA.
Voici l'exemple comment réaliser cela sur les Windows Server 2012 R2.
SCEP initial délivre un certificat visible sur ISE :
La supposition est que le CERTIFICAT MSCEP-RA est expiré et doit être renouvelé.
Solution
1. Identifiez les vieilles clés privées
Trouvez les clés de privite associées avec les Certificats de RA sur le Répertoire actif utilisant l'outil de certutil. Ensuite cela localisent le conteneur principal.
certutil -store MY %COMPUTERNAME%-MSCEP-RA
Veuillez noter que si le nom de votre certificat de l'initiale MSCEP-RA est différent puis il devrait être ajusté dans cette demande. Cependant, par défaut il devrait contenir le nom de l'ordinateur.
2. Vieilles clés privées d'effacement
Supprimez se référer des clés manuellement du répertoire ci-dessous :
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
3. Vieux MSCEP-RA ceritificates de l'effacement
Après avoir supprimé les clés privées, enlevez les ceritificates MSCEP-RA de la console MMC.
MMC > fichier > ajout/suppression SNAP-dans… > ajoutez « Ceritificates » > compte > ordinateur local d'ordinateur
4. Générez les nouveaux Certificats pour SCEP
4.1. Générez le certificat d'inscription d'échange
4.1.1. Créez un fichier cisco_ndes_sign.inf avec le contenu ci-dessous. Ces informations sont utilisées plus tard par le certreq.exetool afin de générer la demande de signature de certificat (CSR) :
[NewRequest] Subject = “CN=NEW-MSCEP-RA,OU=Cisco,O=Systems,L=Krakow,S=Malopolskie,C=PL” Exportable = TRUE KeyLength = 2048 KeySpec = 2 KeyUsage = 0x80 MachineKeySet = TRUE ProviderName = “Microsoft Enhanced Cryptographic Provider v1.0″ ProviderType = 1 [EnhancedKeyUsageExtension] OID = 1.3.6.1.4.1.311.20.2.1 [RequestAttributes] CertificateTemplate = EnrollmentAgentOffline
4.1.2. Créez le CSR basé sur le fichier .INF avec cette commande :
certreq -f -new cisco_ndes_sign.inf cisco_ndes_sign.req
Si l'utilisateur d'avertissement de dialogue que modèle de contexte est en conflit avec le contexte d'ordinateur s'affiche, clique sur OK. Cet avertissement peut être ignoré.
4.1.3. Soumettez le CSR avec cette commande :
certreq -submit cisco_ndes_sign.req cisco_ndes_sign.cer
Pendant cette procédure une fenêtre s'affiche et le CA approprié doit être choisi.
4.1.4 Recevez le certificat délivré à l'étape précédente. En raison de cette commande, le nouveau certificat est importé et déplacé à la mémoire personnelle d'ordinateur local :
certreq -accept cisco_ndes_sign.cer
4.2. Générez le certificat de cryptage de CÈPE
4.2.1. Créez un nouveau fichier cisco_ndes_xchg.inf :
[NewRequest] Subject = "CN=NEW-MSCEP-RA,OU=Cisco,O=Systems,L=Krakow,S=Malopolskie,C=PL" Exportable = TRUE KeyLength = 2048 KeySpec = 1 KeyUsage = 0x20 MachineKeySet = TRUE ProviderName = “Microsoft RSA Schannel Cryptographic Provider” ProviderType = 12 [EnhancedKeyUsageExtension] OID = 1.3.6.1.4.1.311.20.2.1 [RequestAttributes] CertificateTemplate = CEPEncryption
Suivez les mêmes étapes comme décrit dans 4.1.
4.2.2. Générez un CSR basé sur le nouveau fichier .INF :
certreq -f -new cisco_ndes_xchg.inf cisco_ndes_xchg.req
4.2.3. Soumettez la demande :
certreq -submit cisco_ndes_xchg.req cisco_ndes_xchg.cer
4.2.4 : Recevez le nouveau certificat en l'entrant dans la mémoire personnelle d'ordinateur local :
certreq -accept cisco_ndes_xchg.cer
5. Vérifiez
Après s'être terminé l'étape 4, deux nouveaux Certificats MSCEP-RA apparaîtront dans la mémoire personnelle d'ordinateur local :
Également vous pouvez vérifier les Certificats avec l'outil certutil.exe (assurez-vous que vous utilisez le nouveau nom correct de certificat). Des Certificats MSCEP-RA avec de nouveaux noms de terrain communal et nouveaux numéros de série devraient être affichés :
certutil -store MY NEW-MSCEP-RA
6. Reprise IIS
Redémarrez le serveur de l'Internet Information Services (IIS) afin d'appliquer les modifications :
iisreset.exe
7. Créez le nouveau profil de RA SCEP
Sur ISE créez un nouveau profil de RA SCEP (avec le même URL de serveur que le vieil), ainsi de nouveaux Certificats sont téléchargés et ajoutés à la mémoire de Certificats de confiance :
8. Modifiez le modèle de certificat
Assurez-vous que le nouveau profil de RA SCEP est spécifié dans le modèle de certificat utilisé par BYOD (vous pouvez le vérifier dans la gestion > le système > les Certificats > des modèles d'autorité de certification > de Certificats) :
Références
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)