HTTPS-ondersteuning voor ISE SCEP-integratie configureren

Downloadopties

  • PDF     (1.2 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.3 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (761.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:31 juli 2013
Document-id:116238

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

In dit document worden de stappen beschreven die vereist zijn om ondersteuning voor Hypertext Transfer Protocol Secure (HTTPS) voor Secure certificaatinschrijving Protocol (SCEP) te configureren met de Identity Services Engine (ISE).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • Basiskennis van de Microsoft Internet Information Services (IS)-webserver
  • Ervaring met de configuratie van SCEP en certificaten op ISE

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • ISE release 1.1.x
  • Windows Server 2008 R2 Enterprise met hotfixes voor KB2483564 en KB2633200 geïnstalleerd

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

De informatie met betrekking tot Microsoft certificaatservices wordt geleverd als een handleiding specifiek voor Cisco verantwoordelijk voor Cisco Bring Uw Ewn Devices (BYOD). Raadpleeg Microsoft's TechNet als de definitieve bron van waarheid voor Microsoft certificeringsinstantie, Network Devices (NDES) en SCEP-gerelateerde serverconfiguraties.

 

Achtergrondinformatie

In een BYOD-toepassing is een van de kerncomponenten een Microsoft 2008 R2 Enterprise-server die de NDES-rol heeft geïnstalleerd.  Deze server is lid van het Active Directory (AD) bos.  Tijdens de eerste installatie van NDES wordt de IIS-webserver van Microsoft automatisch geïnstalleerd en geconfigureerd om HTTP-beëindiging van SCEP te ondersteunen.  Bij sommige BYOD-implementaties kunnen klanten de communicatie tussen ISE en NDES met HTTPS verder veilig willen stellen.  In deze procedure worden de stappen beschreven die vereist zijn om een Secure Socket Layer (SSL)-certificaat voor de SCEP-website te vragen en te installeren.

Configureren

NDES-servercertificaatconfiguratie

Opmerking:  U moet een nieuw certificaat voor IS configureren (alleen vereist wanneer IS geïntegreerd is met een derde PKI, zoals Verticatie of wanneer de certificeringsinstantie (CA) en NDES server rollen worden gescheiden op afzonderlijke servers). In de installatie, als de NDES-rol op een huidige Microsoft CA-server staat, gebruikt IIS het certificaat van serveridentiteit dat tijdens de CA-instelling is gemaakt.  Voor standalone configuraties zoals dit, overslaan direct naar het gedeelte NDES Server IS Binding Configuration in dit document.

  1. Sluit aan op de NDES-server via console of RDP.
  2. Klik op Start -> Administratieve tools -> Internet Information Services (IS) Manager.
  3. Markeer de naam van de IIS-server en klik op het pictogram Server Certificates.

  4. Klik op certificaataanvraag maken en vul de velden in.

  5. Open het .cer-bestand dat in de vorige stap is gemaakt met een teksteditor en kopieer de inhoud naar het klembord.

  6. Toegang tot de website Microsoft CA Web Enrollment en klik op Aanvragen van een certificaat.

    Voorbeeld URL: http://yourCAIP/certsrv


  7. Klik op Een certificaataanvraag indienen door... te gebruiken.. Plakt het certificaat in de inhoud van het klembord en kies de sjabloon van de webserver.

  8. Klik op Inzenden en bewaar het certificaatbestand vervolgens op het bureaublad.
  9. Ga terug naar de NDES-server en open de IIS Manager-applicatie. Klik op de servernaam en klik vervolgens op Complete certificaataanvraag om het nieuwe servercertificaat te importeren.

Configuratie van NDES-serverbinding

  1. Vouw de servernaam uit, breid Sites uit, klik op Standaardwebsite.
  2. Klik in de rechterbovenhoek op Bindingen.
  3. Klik op Add, verander de Typemachine naar HTTPS en kies het certificaat van de vervolgkeuzelijst.
  4. Klik op OK.

 

ISE-serverconfiguratie

  1. Sluit aan op de interface voor webinschrijving van de CA-server en download de CA-certificeringsketen.

  2. Vanuit de ISE GUI, navigeer naar Administratie -> Certificaten -> certificaatopslag en voer de CA-certificeringsketen in de ISE-winkel in.

  3. Navigeer naar beheer -> Certificaten -> SCEP CA profielen en stel de URL voor HTTPS in. Klik op Test Connectivity en vervolgens op Opslaan.

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

  • Navigeren in op Administratie -> Certificaten -> certificaatstatus en controleren of de CA-certificeringsinstantie (NDES Server Registration Authority) (RA) aanwezig is.
  • Gebruik Wireshark of TCP Dump om de eerste SSL-uitwisseling tussen het ISE admin-knooppunt en de NDES-server te controleren.

De Output Interpreter Tool (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de Output Interpreter Tool om een analyse te bekijken van de output van de opdracht show.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

  • Breek de topologie van het BYOD-netwerk op logische manieren uit om te helpen debug- en opnamepunten te identificeren langs het pad tussen deze eindpunten - ISE, NDES en CA.
  • Verzeker dat TCP 443 bidirectioneel is toegestaan tussen ISE en de NDES-server.
  • Controleer de logbestanden van de CA- en NDES-servertoepassing voor registratiefouten en gebruik Google of TechNet om deze fouten te onderzoeken.
  • Gebruik de TCP Dump voorziening op ISE PSN en controleer verkeer naar en van de NDES server. Dit bevindt zich onder Operations > Diagnostische tools > General Tools.
  • Installeer Wireless-shark op de NDES-server of gebruik SPAN op intermediaire switches om SCEP-verkeer naar en van de ISE PSN op te nemen.

De Output Interpreter Tool (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de Output Interpreter Tool om een analyse te bekijken van de output van de opdracht show.

Opmerking: raadpleeg Belangrijke informatie over debug Commands voordat u debug-opdrachten gebruikt.

Gerelateerde informatie

TAC Authored

Bijgedragen door Cisco-engineers

  • Todd Pula and Sylvain Levesque
    Cisco TAC Engineers.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten