ISE의 BYOD에 사용되는 Windows Server AD 2012에서 SCEP RA 인증서 갱신
목차
소개
이 문서에서는 SCEP(Simple Certificate Enrollment Protocol)에 사용되는 두 인증서를 갱신하는 방법에 대해 설명합니다.Microsoft Active Directory 2012의 Exchange 등록 에이전트 및 CEP 암호화 인증서
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Microsoft Active Directory 구성에 대한 기본 지식
- PKI(Public Key Infrastructure)에 대한 기본 지식
- ISE(Identity Services Engine)에 대한 기본 지식
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco Identity Services Engine 버전 2.0
- Microsoft Active Directory 2012 R2
문제
Cisco ISE는 SCEP 프로토콜을 사용하여 개인 장치 등록(BYOD 온보딩)을 지원합니다. 외부 SCEP CA를 사용할 때 이 CA는 ISE의 SCEP RA 프로필에 의해 정의됩니다.SCEP RA 프로파일이 생성되면 두 인증서가 신뢰할 수 있는 인증서 저장소에 자동으로 추가됩니다.
- CA 루트 인증서,
- CA에서 서명한 RA(등록 기관) 인증서
RA는 등록 디바이스에서 요청을 수신 및 검증하고, 클라이언트 인증서를 발급하는 CA에 요청을 전달하는 업무를 담당합니다.
RA 인증서가 만료되면 CA 측(이 예에서는 Windows Server 2012)에서 자동으로 갱신되지 않습니다. 이는 Active Directory/CA 관리자가 수동으로 수행해야 합니다.
다음은 Windows Server 2012 R2에서 이를 달성하는 방법의 예입니다.
ISE에 표시되는 초기 SCEP 인증서:
MSCEP-RA 인증서가 만료되어 갱신되어야 한다고 가정합니다.
솔루션
1. 이전 개인 키 식별
certutil 툴을 사용하여 Active Directory에서 RA 인증서와 연결된 개인 키를 찾습니다.그런 다음 키 컨테이너를 찾습니다.
certutil -store MY %COMPUTERNAME%-MSCEP-RA
초기 MSCEP-RA 인증서의 이름이 다른 경우 이 요청에서 조정되어야 합니다.그러나 기본적으로 컴퓨터 이름이 포함되어야 합니다.
2. 이전 개인 키 삭제
아래 폴더에서 참조 키를 수동으로 삭제합니다.
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
3. 이전 MSCEP-RA 인증서 삭제
개인 키를 삭제한 후 MMC 콘솔에서 MSCEP-RA 인증서를 제거합니다.
MMC > 파일 > 스냅인 추가/제거... > "인증서 추가" > 컴퓨터 계정 > 로컬 컴퓨터
4. SCEP에 대한 새 인증서를 생성합니다.
4.1. Exchange 등록 인증서 생성
4.1.1. 아래의 내용을 사용하여 cisco_ndes_sign.inf 파일을 생성합니다.이 정보는 나중에 CSR(Certificate Signing Request)을 생성하기 위해 certreq.exe 도구에서 사용합니다.
[NewRequest] Subject = “CN=NEW-MSCEP-RA,OU=Cisco,O=Systems,L=Krakow,S=Malopolskie,C=PL” Exportable = TRUE KeyLength = 2048 KeySpec = 2 KeyUsage = 0x80 MachineKeySet = TRUE ProviderName = “Microsoft Enhanced Cryptographic Provider v1.0″ ProviderType = 1 [EnhancedKeyUsageExtension] OID = 1.3.6.1.4.1.311.20.2.1 [RequestAttributes] CertificateTemplate = EnrollmentAgentOffline
4.1.2. 다음 명령을 사용하여 .INF 파일을 기반으로 CSR을 만듭니다.
certreq -f -new cisco_ndes_sign.inf cisco_ndes_sign.req
경고 대화 상자 사용자 컨텍스트 템플릿이 시스템 컨텍스트와 충돌하는 경우 확인을 클릭합니다.이 경고는 무시될 수 있습니다.
4.1.3. 다음 명령을 사용하여 CSR을 제출합니다.
certreq -submit cisco_ndes_sign.req cisco_ndes_sign.cer
이 절차를 진행하는 동안 창이 열리고 적절한 CA를 선택해야 합니다.
4.1.4 이전 단계에서 발급된 인증서를 수락합니다.이 명령의 결과로 새 인증서를 가져오고 로컬 컴퓨터 개인 저장소로 이동합니다.
certreq -accept cisco_ndes_sign.cer
4.2. CEP 암호화 인증서 생성
4.2.1. 새 파일 cisco_ndes_xchg.inf를 생성합니다.
[NewRequest] Subject = "CN=NEW-MSCEP-RA,OU=Cisco,O=Systems,L=Krakow,S=Malopolskie,C=PL" Exportable = TRUE KeyLength = 2048 KeySpec = 1 KeyUsage = 0x20 MachineKeySet = TRUE ProviderName = “Microsoft RSA Schannel Cryptographic Provider” ProviderType = 12 [EnhancedKeyUsageExtension] OID = 1.3.6.1.4.1.311.20.2.1 [RequestAttributes] CertificateTemplate = CEPEncryption
4.1에 설명된 것과 동일한 단계를 수행합니다.
4.2.2. 새 .INF 파일을 기반으로 CSR을 생성합니다.
certreq -f -new cisco_ndes_xchg.inf cisco_ndes_xchg.req
4.2.3. 요청을 실행합니다.
certreq -submit cisco_ndes_xchg.req cisco_ndes_xchg.cer
4.2.4:로컬 컴퓨터 개인 저장소로 이동하여 새 인증서를 수락합니다.
certreq -accept cisco_ndes_xchg.cer
5. 확인
4단계를 마치면 2개의 새 MSCEP-RA 인증서가 로컬 컴퓨터 개인 저장소에 나타납니다.
certutil.exe 도구를 사용하여 인증서를 확인할 수도 있습니다(올바른 새 인증서 이름을 사용하는지 확인).새 공통 이름 및 새 일련 번호가 포함된 MSCEP-RA 인증서가 표시되어야 합니다.
certutil -store MY NEW-MSCEP-RA
6. IIS를 다시 시작합니다.
변경 내용을 적용하려면 IIS(인터넷 정보 서비스) 서버를 다시 시작하십시오.
iisreset.exe
7. 새 SCEP RA 프로파일 생성
ISE에서 새 SCEP RA 프로필(이전 URL과 동일한 서버 URL)을 생성하므로 새 인증서가 다운로드되고 신뢰할 수 있는 인증서 저장소에 추가됩니다.
8. 인증서 템플릿 수정
새 SCEP RA 프로파일이 BYOD에서 사용하는 인증서 템플릿에 지정되었는지 확인합니다(관리 > 시스템 > 인증서 > 인증 기관 > 인증서 템플릿에서 확인할 수 있음).
피드백