Configurazione di Microsoft CA Server per la pubblicazione degli elenchi di revoche di certificati per ISE

Opzioni per il download

  • PDF     (2.1 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.0 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:13 febbraio 2024
ID documento:216529

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritta la configurazione di un server Microsoft Certificate Authority (CA) che esegue Internet Information Services (IIS) per la pubblicazione degli aggiornamenti CRL (Certificate Revocation List). Viene inoltre spiegato come configurare Cisco Identity Services Engine (ISE) (versioni 3.0 e successive) in modo da recuperare gli aggiornamenti da utilizzare per la convalida del certificato. È possibile configurare ISE in modo da recuperare i CRL per i vari certificati radice CA utilizzati nella convalida dei certificati.

    Prerequisito

    Requisiti

    Nessun requisito specifico previsto per questo documento.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco Identity Services Engine release 3.0
    • Microsoft Windows Server 2008 R2

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.

    Creare e configurare una cartella nella CA per contenere i file CRL

    La prima operazione consiste nel configurare un percorso nel server CA in cui archiviare i file CRL. Per impostazione predefinita, il server CA Microsoft pubblica i file in C:\Windows\system32\CertSrv\CertEnroll\

    Anziché utilizzare questa cartella di sistema, creare una nuova cartella per i file.

    1. Sul server IIS, scegliere un percorso nel file system e creare una nuova cartella. In questo esempio C:\CRLDistribution viene creata la cartella.

      Choose location and create folder

    2. Affinché la CA possa scrivere i file CRL nella nuova cartella, è necessario che la condivisione sia attivata. Fare clic con il pulsante destro del mouse sulla nuova cartella, scegliere Properties, fare clic sulla Sharing scheda e quindi su Advanced Sharing.

      Enable Advanced Sharing

    3. Per condividere la cartella, selezionare la casella di controllo, Share this folder quindi aggiungere il simbolo del dollaro ($) alla fine del nome della condivisione nel campo Nome condivisione per nascondere la condivisione.

      Enter the share name and share the folder

    4. Fare clic su Permissions (1), fare clic su Add (2), fare clic su Object Types (3) e selezionare la Computers casella di controllo (4).

      Manage permissions

    5. Per tornare alla finestra Seleziona utenti, computer, account di servizio o gruppi, fare clic su OK. Nel campo Immettere i nomi degli oggetti da selezionare immettere il nome del computer del server CA nell'esempio seguente: WIN0231PNBS4IPH e fare clic su Check Names. Se il nome immesso è valido, viene aggiornato e visualizzato sottolineato. Fare clic su .OK

      Enter the Object Names

    6. Nel campo Utenti e gruppi scegliere il computer CA. Selezionare Allow Controllo completo per concedere l'accesso completo alla CA.

           Fare clic su .OK Fare di nuovo clic OK per chiudere la finestra Condivisione avanzata e tornare alla finestra Proprietà.

      Set the permissions for the share and allow full control

    7. Per consentire alla CA di scrivere i file CRL nella nuova cartella, configurare le autorizzazioni di protezione appropriate. Fare clic sullaSecurity scheda (1), fare clic su Edit (2), fare clic su Add (3), fare clic su Object Types (4) e selezionare la Computers casella di controllo (5).

      Configure the security permissions

    8. Nel campo Immettere i nomi degli oggetti da selezionare, immettere il nome del computer del server CA e fare clic su Check Names. Se il nome immesso è valido, viene aggiornato e visualizzato sottolineato. Fare clic su .OK

      Check names for validity

    9. Scegliere il computer CA nel campo Utenti e gruppi e quindi verificare Allow la presenza di Controllo completo per concedere l'accesso completo alla CA. Fare clic suOK, quindi su Close per completare l'operazione.

      Choose the CA computer and allow full control

    Creare un sito in IIS per esporre il nuovo punto di distribuzione CRL

    Per consentire ad ISE di accedere ai file CRL, rendere accessibile tramite IIS la directory che contiene i file CRL.

    1. Sulla barra delle applicazioni del server IIS fare clic su Start. Scegliere Administrative Tools > Internet Information Services (IIS) Manager.
    2. Nel riquadro di sinistra (noto come struttura della console) espandere il nome del server IIS e quindi Sites.

      Console tree and server name

    3. Fate clic con il pulsante destro del mouse Default Web Site e scegliete Add Virtual Directory, come mostrato nell'immagine.

      Add virtual directory

    4. Nel campo Alias immettere il nome di un sito per il punto di distribuzione CRL. Nell'esempio, viene immesso CRLD.

      Enter site name in Alias field

    5. Fare clic sui puntini di sospensione (. . .) a destra del campo Percorso fisico e individuare la cartella creata nella sezione 1. Selezionare la cartella e fare clic su OK. Fare clic OK per chiudere la finestra Aggiungi directory virtuale.

      Close the Add Virtual Directory window

    6. Il nome del sito immesso al passaggio 4 deve essere evidenziato nel riquadro di sinistra. In caso contrario, sceglietela ora. Nel riquadro centrale fare doppio clic su Directory Browsing.

      Directory browsing

    7. Nel riquadro di destra, fare clic su Enable per abilitare la ricerca nelle directory.

      Enable directory browsing

    8. Nel riquadro sinistro scegliere nuovamente il nome del sito. Nel riquadro centrale fare doppio clic su Configuration Editor.

      Directory browsing

    9. Nell'elenco a discesa Sezione (Section), selezionate system.webServer/security/requestFiltering. Nell'elenco a allowDoubleEscaping discesa scegliere True. Nel riquadro destro fare clic su Apply, come illustrato nell'immagine.

      allowDoubleEscaping drop-down list

      La cartella deve essere accessibile tramite IIS.

    Configurare Microsoft CA Server per la pubblicazione dei file CRL nel punto di distribuzione

    Ora che è stata configurata una nuova cartella per ospitare i file CRL e che la cartella è stata esposta in IIS, configurare il server CA Microsoft per pubblicare i file CRL nel nuovo percorso.

    1. Sulla barra delle applicazioni del server CA fare clic su Start. Scegliere Administrative Tools > Certificate Authority.
    2. Nel riquadro sinistro fare clic con il pulsante destro del mouse sul nome della CA. Scegliere Properties e fare clic sulla Extensions scheda. Per aggiungere un nuovo punto di distribuzione CRL, fare clic su Add.

      Add a new CRL distribution point

    3. Nel campo Posizione, immettere il percorso della cartella creata e condivisa nella sezione 1. Nell'esempio della sezione 1, il percorso è:

             \\WIN-231PNBS4IPH\CRLDistribuzione$

      Add a location

    4. Con il campo Posizione popolato, scegliere dall'elenco a discesa Variabile e fare clic su Insert.

      Insert a CA name

    5. Dall'elenco a discesa Variabile (Variable), selezionate e fate clic su Insert.

      Insert the variable

    6. Nel campo Posizione aggiungere .crl alla fine del percorso. In questo esempio, il valore di Location è:

           \\WIN-231PNBS4IPH\CRLDistribution$\.crl

      Add a location

    7. Fare clic su OK per tornare alla scheda Estensioni. Selezionare la casella di controllo, Publish CRLs to this location quindi fare clic su OK per chiudere la finestra Proprietà.

      Verrà visualizzata una richiesta di autorizzazione per riavviare Servizi certificati Active Directory. Fare clic su .Yes

      Restart Active Directory Services

    8. Nel riquadro sinistro fare clic con il pulsante destro del mouse su Revoked Certificates. Scegliere All Tasks > Publish. Verificare che sia selezionato Nuovo CRL, quindi fare clic su OK.

      Choose all tasksPublish revoked certificates

      Il server CA Microsoft deve creare un nuovo file con estensione crl nella cartella creata nella sezione 1. Se il nuovo file CRL viene creato correttamente, dopo aver scelto OK non verrà visualizzata alcuna finestra di dialogo. Se viene restituito un errore relativo alla nuova cartella del punto di distribuzione, ripetere con attenzione ogni passaggio in questa sezione.

    Verificare che il file CRL esista e sia accessibile tramite IIS

    Prima di iniziare questa sezione, verificare che i nuovi file CRL esistano e che siano accessibili tramite IIS da un'altra workstation.

    1. Sul server IIS, aprire la cartella creata nella sezione 1. Deve essere presente un singolo file con estensione crl con il modulo .crl , dove è il nome del server CA. In questo esempio, il nome del file è:

           abtomar-WIN-231PNBS4IPH-CA.crl

      IIS server

    2. Da una workstation in rete (preferibilmente sulla stessa rete del nodo Amministrazione principale ISE), aprire un browser Web e individuare http:/// dove è il nome del server IIS configurato nella sezione 2 e è il nome del sito scelto per il punto di distribuzione nella sezione 2. In questo esempio, l'URL è:

           http://win-231pnbs4iph/CRLD

      Viene visualizzato l'indice della directory, che include il file osservato nel passaggio 1.

      Directory index

    Configurare ISE per l'utilizzo del nuovo punto di distribuzione CRL

    Prima di configurare ISE per il recupero del CRL, definire l'intervallo di pubblicazione del CRL. La strategia per determinare questo intervallo esula dall'ambito del presente documento. I valori potenziali (in Microsoft CA) sono compresi tra 1 ora e 411 anni. Il valore predefinito è 1 settimana. Una volta determinato l'intervallo appropriato per l'ambiente, impostare l'intervallo con le seguenti istruzioni:

    1. Sulla barra delle applicazioni del server CA fare clic su Start. Scegliere Administrative Tools > Certificate Authority.
    2. Nel riquadro sinistro espandere la CA. Fare clic con il pulsante destro del mouse sulla Revoked Certificates cartella e scegliere Properties.
    3. Nei campi Intervallo pubblicazione CRL immettere il numero richiesto e scegliere il periodo di tempo. Fare clic OK su per chiudere la finestra e applicare la modifica. Nell'esempio seguente viene configurato un intervallo di pubblicazione di sette giorni.

      Revoked certificates propertiesCRL publication interval

    4. Immettere il comando certutil -getreg CA\Clock* per confermare il valore di ClockSkew. Il valore predefinito è 10 minuti.

      Output di esempio:

      Values:
    ClockSkewMinutes        REG_DWORS = a (10)
CertUtil: -getreg command completed successfully.
    5. Immettere il certutil -getreg CA\CRLov* comando per verificare se CRLOverlapPeriod è stato impostato manualmente. Per impostazione predefinita, il valore di CRLOverlapUnit è 0, che indica che non è stato impostato alcun valore manuale. Se il valore è diverso da 0, registrare il valore e le unità.

      Output di esempio:

      Values:
    CRLOverlapPeriod      REG_SZ = Hours
    CRLOverlapUnits        REG_DWORD = 0
CertUtil: -getreg command completed successfully.
    6. Immettere il certutil -getreg CA\CRLpe* comando per verificare CRLPeriod, impostato nel passaggio 3.

      Output di esempio:

      Values:
    CRLPeriod      REG_SZ = Days
    CRLUnits        REG_DWORD = 7
CertUtil: -getreg command completed successfully.
    7. Calcolare il periodo di tolleranza CRL nel modo seguente:

         r. Se CRLOverlapPeriod è stato impostato nel passaggio 5: OVERLAP = CRLOverlapPeriod, in minuti;

            Altrimenti: OVERLAP = (CRLPeriod / 10), in minuti

         b. Se SOVRAPPOSIZIONE > 720, SOVRAPPOSIZIONE = 720

         c. Se OVERLAP < (1.5 * ClockSkewMinutes), OVERLAP = (1.5 * ClockSkewMinutes)

         d. Se OVERLAP > CRLPeriod, in minuti si avrà OVERLAP = CRLPeriod in minuti

         e. Periodo di tolleranza = OVERLAP + ClockSkewMinutes

      Example:

As stated above, CRLPeriod was set to 7 days, or 10248 minutes and CRLOverlapPeriod was not set.


      a. OVERLAP = (10248 / 10) = 1024.8 minutes
b. 1024.8 minutes is > 720 minutes : OVERLAP = 720 minutes
c. 720 minutes is NOT < 15 minutes : OVERLAP = 720 minutes
d. 720 minutes is NOT > 10248 minutes : OVERLAP = 720 minutes
e. Grace Period = 720 minutes + 10 minutes = 730 minutes

      Il periodo di prova calcolato è il periodo di tempo che intercorre tra la pubblicazione da parte della CA del CRL successivo e la scadenza del CRL corrente. ISE deve essere configurato in modo da recuperare i CRL di conseguenza.

    8. Accedere al nodo ISE Primary Admin e selezionare Administration > System > Certificates. Nel riquadro di sinistra, scegliere Trusted Certificate.

      Trusted certificates

    9. Selezionare la casella di controllo accanto al certificato CA per il quale si desidera configurare i CRL. Fare clic su .Edit
    10. Selezionare la casella di controllo accanto alla parte inferiore della Download CRL finestra.
    11. Nel campo URL di distribuzione CRL immettere il percorso del punto di distribuzione CRL, che include il file con estensione crl creato nella sezione 2. In questo esempio l'URL è:

          http://win-231pnbs4iph/crld/abtomar-WIN-231PNBS4IPH-CA.crl

    12. L'ISE può essere configurato in modo da recuperare il CRL a intervalli regolari o in base alla scadenza (che in generale è anche un intervallo regolare). Se l'intervallo di pubblicazione del CRL è statico, gli aggiornamenti del CRL più tempestivi vengono ottenuti quando si utilizza l'ultima opzione. Fare clic sul Automatically pulsante di opzione.
    13. Impostare il valore per il recupero su un valore inferiore al periodo di prova calcolato nel passaggio 7. Se il valore impostato è più lungo del periodo di prova, ISE controlla il punto di distribuzione del CRL prima che la CA pubblichi il successivo CRL. In questo esempio, il periodo di tolleranza viene calcolato in 730 minuti, ovvero 12 ore e 10 minuti. Per il recupero viene utilizzato un valore di 10 ore.
    14. Impostare l'intervallo tra i tentativi in base all'ambiente. Se ISE non è in grado di recuperare il CRL in base all'intervallo configurato nel passaggio precedente, verrà eseguito un nuovo tentativo a questo intervallo più breve.
    15. Selezionare la Bypass CRL Verification if CRL is not Received casella di controllo per consentire all'autenticazione basata su certificati di procedere normalmente (e senza un controllo CRL) se ISE non è stata in grado di recuperare il CRL per questa CA nell'ultimo tentativo di download. Se questa casella di controllo non è selezionata, tutte le autenticazioni basate su certificati emesse da questa CA avranno esito negativo se non è possibile recuperare il CRL.
    16. Selezionare la Ignore that CRL is not yet valid or expired casella di controllo per consentire ad ISE di utilizzare file CRL scaduti (o non ancora validi) come se fossero validi. Se questa casella di controllo non è selezionata, ISE considera un CRL non valido prima della data effettiva e dopo l'ora del successivo aggiornamento. Fare clic Save su per completare la configurazione.

      Certificate status validation

    Verifica

    Attualmente non è disponibile una procedura di verifica per questa configurazione.

    Risoluzione dei problemi

    Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    16-Feb-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Abhishek Tomar
      Cisco TAC Engineer
    • Justin Teixeira
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti