Microsoft CA Server configureren om de lijsten voor certificaatintrekking voor ISE te publiceren

Downloadopties

  • PDF     (2.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:13 februari 2024
Document-id:216529

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt de configuratie beschreven van een Microsoft Certificate Authority (CA)-server waarop Internet Information Services (IIS) wordt uitgevoerd om de updates van de Certificate Revocation List (CRL) te publiceren. Ook wordt uitgelegd hoe u de Cisco Identity Services Engine (ISE) (versie 3.0 en hoger) configureert om de updates op te halen voor gebruik in certificaatvalidatie. ISE kan worden geconfigureerd om CRL's op te halen voor de verschillende CA-rootcertificaten die het gebruikt bij certificaatvalidatie.

    Voorwaarde

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco Identity Services Engine release 3.0
    • Microsoft Windows Server 2008 R2

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

    Een map op de CA maken en configureren om de CRL-bestanden te huisvesten

    De eerste taak is het configureren van een locatie op de CA-server om de CRL-bestanden op te slaan. Standaard publiceert de Microsoft CA-server de bestanden naar C:\Windows\system32\CertSrv\CertEnroll\

    In plaats van deze systeemmap te gebruiken, maakt u een nieuwe map voor de bestanden.

    1. Kies op de IIS-server een locatie op het bestandssysteem en maak een nieuwe map aan. In dit voorbeeld wordt de map C:\CRLDistribution gemaakt.

      Choose location and create folder

    2. Als de CA de CRL-bestanden naar de nieuwe map wil schrijven, moet delen zijn ingeschakeld. Klik met de rechtermuisknop op de nieuwe map, kies, Propertiesklik op het Sharing tabblad en klik Advanced Sharingop.

      Enable Advanced Sharing

    3. Als u de map wilt delen, schakelt u het Share this folder selectievakje in en voegt u een dollarteken ($) toe aan het einde van de naam van het aandeel in het veld Naam delen om het aandeel te verbergen.

      Enter the share name and share the folder

    4. Klik op Permissions (1), klik op Add (2), klik op Object Types (3) en vink het Computers selectievakje (4) aan.

      Manage permissions

    5. Om terug te keren naar het venster Select Users, Computers, Service Accounts, or Groups (Gebruikers, computers, serviceaccounts of groepen selecteren), klikt u op OKInstellingen. Voer in het veld Enter the object names to select (Geef de objectnamen op die u wilt selecteren) de computernaam van de CA-server in dit voorbeeld: WIN0231PNBS4IPH in en klik Check Namesop. Als de ingevoerde naam geldig is, wordt de naam vernieuwd en onderstreept weergegeven. Klik op de knop .OK

      Enter the Object Names

    6. Kies de CA-computer in het veld Groep- of gebruikersnamen. Controleer Allow of u volledige controle hebt om volledige toegang tot de CA te verlenen.

           Klik op de knop .OK Klik OK nogmaals om het venster Geavanceerd delen te sluiten en terug te keren naar het venster Eigenschappen.

      Set the permissions for the share and allow full control

    7. Om de CA in staat te stellen de CRL-bestanden naar de nieuwe map te schrijven, configureert u de juiste beveiligingsmachtigingen. Klik op hetSecurity tabblad (1), klik op Edit (2), klik op Add (3), klik op Object Types (4) en vink het Computers selectievakje (5) aan.

      Configure the security permissions

    8. Voer in het veld Enter the object names to select de computernaam van de CA-server in en klik Check Namesop. Als de ingevoerde naam geldig is, wordt de naam vernieuwd en onderstreept weergegeven. Klik op de knop .OK

      Check names for validity

    9. Kies de CA-computer in het veld Groep- of gebruikersnamen en controleer Allow of u volledige controle hebt om volledige toegang tot de CA te verlenen. Klik OK en klik vervolgens Close om de taak te voltooien.

      Choose the CA computer and allow full control

    Een site in IIS maken om het nieuwe CRL-distributiepunt te openen

    Om ISE toegang te geven tot de CRL-bestanden, maakt u de directory waarin de CRL-bestanden zijn ondergebracht toegankelijk via IIS.

    1. Klik op de taakbalk van de IIS-Startserver. Kies Administrative Tools > Internet Information Services (IIS) Managervoor.
    2. Vouw in het linkerdeelvenster (bekend als de consolestructuur) de IIS-servernaam uit en vouw vervolgens Sitesuit.

      Console tree and server name

    3. Klik met de rechtermuisknop Default Web Site en kies Add Virtual Directoryzoals in deze afbeelding wordt weergegeven.

      Add virtual directory

    4. Voer in het veld Alias een sitenaam in voor het CRL-distributiepunt. In dit voorbeeld wordt CRLD ingevoerd.

      Enter site name in Alias field

    5. Klik op de ellips (. . .) rechts van het veld Fysiek pad en blader naar de map die is gemaakt in sectie 1. Selecteer de map en klik OKop. Klik OK om het venster Virtual Directory toevoegen te sluiten.

      Close the Add Virtual Directory window

    6. De in stap 4 ingevoerde sitenaam moet in het linkerdeelvenster worden gemarkeerd. Zo niet, kies het dan nu. Dubbelklik in het middenvenster op Directory BrowsingCtrl.

      Directory browsing

    7. Klik in het rechterdeelvenster Enable om het bladeren door directory's in te schakelen.

      Enable directory browsing

    8. Kies in het linkerdeelvenster opnieuw de naam van de site. Dubbelklik in het middenvenster op Configuration EditorCtrl.

      Directory browsing

    9. Kies in de vervolgkeuzelijst Sectie system.webServer/security/requestFilteringde optie. Kies in de allowDoubleEscaping vervolgkeuzelijst TrueOpties. Klik in het rechterdeelvenster op Applyde optie, zoals weergegeven in deze afbeelding.

      allowDoubleEscaping drop-down list

      De map moet nu toegankelijk zijn via IIS.

    Microsoft CA Server configureren om CRL-bestanden naar het distributiepunt te publiceren

    Nu een nieuwe map is geconfigureerd om de CRL-bestanden te huisvesten en de map in IIS is weergegeven, configureert u de Microsoft CA-server om de CRL-bestanden naar de nieuwe locatie te publiceren.

    1. Klik op de taakbalk van de CA-Startserver. Kies Administrative Tools > Certificate Authorityvoor.
    2. Klik in het linkerdeelvenster met de rechtermuisknop op de CA-naam. Kies Properties en klik op het Extensions tabblad. Als u een nieuw CRL-distributiepunt wilt toevoegen, klikt u Addop.

      Add a new CRL distribution point

    3. Voer in het veld Locatie het pad in naar de map die is gemaakt en gedeeld in sectie 1. In het voorbeeld in sectie 1 is het pad:

             \\WIN-231PNBS4IPH\CRLDdistribution$

      Add a location

    4. Als het veld Locatie is ingevuld, kiest u uit de vervolgkeuzelijst Variabele en klikt u vervolgens op Insert.

      Insert a CA name

    5. Kies in de vervolgkeuzelijst Variabele de optie en klik vervolgens op InsertVariabele.

      Insert the variable

    6. Voeg aan het einde van het pad toe aan .crl het veld Locatie. In dit voorbeeld is de locatie:

           \\WIN-231PNBS4IPH\CRLDistribution$\.crl

      Add a location

    7. Klik OK om terug te keren naar het tabblad Extensies. Schakel het Publish CRLs to this location selectievakje in en klik vervolgens OK om het venster Eigenschappen te sluiten.

      Er verschijnt een prompt voor toestemming om Active Directory Certificate Services opnieuw te starten. Klik op de knop .Yes

      Restart Active Directory Services

    8. Klik met de rechtermuisknop in het Revoked Certificateslinkerdeelvenster. Kies All Tasks > Publishvoor. Controleer of Nieuw CRL is geselecteerd en klik OKop.

      Choose all tasksPublish revoked certificates

      De Microsoft CA-server moet een nieuw .crl-bestand maken in de map die is gemaakt in sectie 1. Als het nieuwe CRL-bestand met succes is gemaakt, is er geen dialoogvenster nadat op OK is geklikt. Als er een fout wordt geretourneerd met betrekking tot de nieuwe distributiepuntmap, herhaalt u elke stap in deze sectie zorgvuldig.

    Controleer of het CRL-bestand bestaat en toegankelijk is via IIS

    Controleer of de nieuwe CRL-bestanden bestaan en of ze toegankelijk zijn via IIS vanaf een ander werkstation voordat u dit gedeelte start.

    1. Open op de IIS-server de map die is gemaakt in sectie 1. Er moet een enkel .crl-bestand aanwezig zijn met het formulier .crl waarop de naam van de CA-server staat. In dit voorbeeld is de bestandsnaam:

           abtomar-WIN-231PNBS4IPH-CA.crl

      IIS server

    2. Open vanaf een werkstation op het netwerk (idealiter op hetzelfde netwerk als de primaire ISE-beheerknooppunt) een webbrowser en blader naar http:/// waar de servernaam van de IIS-server is geconfigureerd in sectie 2 en de sitenaam is die is gekozen voor het distributiepunt in sectie 2. In dit voorbeeld is de URL:

           http://win-231pnbs4iph/CRLD

      De directory-index wordt weergegeven, inclusief het bestand dat in stap 1 is waargenomen.

      Directory index

    ISE configureren om het nieuwe CRL-distributiepunt te gebruiken

    Voordat ISE wordt geconfigureerd om de CRL op te halen, definieert u het interval voor publicatie van de CRL. De strategie om dit interval te bepalen valt buiten het bestek van dit document. De potentiële waarden (in Microsoft CA) zijn 1 uur tot 411 jaar, inclusief. De standaardwaarde is 1 week. Zodra een geschikt interval voor uw omgeving is bepaald, stelt u het interval in met de volgende instructies:

    1. Klik op de taakbalk van de CA-Startserver. Kies Administrative Tools > Certificate Authorityvoor.
    2. Vouw in het linkerdeelvenster de CA uit. Klik met de rechtermuisknop op de Revoked Certificates map en kies PropertiesMap.
    3. Voer in de velden voor het CRL-publicatieinterval het vereiste aantal in en kies de tijdsperiode. Klik OK om het venster te sluiten en de wijziging toe te passen. In dit voorbeeld wordt een publicatieinterval van zeven dagen geconfigureerd.

      Revoked certificates propertiesCRL publication interval

    4. Voer de opdracht certutil -getreg CA\Clock* in om de waarde ClockSkew te bevestigen. De standaardwaarde is 10 minuten.

      Voorbeeld van uitvoer:

      Values:
    ClockSkewMinutes        REG_DWORS = a (10)
CertUtil: -getreg command completed successfully.
    5. Voer de certutil -getreg CA\CRLov* opdracht in om te controleren of de CRLOverlapPeriod handmatig is ingesteld. Standaard is de waarde CRLOverlapUnit 0, wat aangeeft dat er geen handmatige waarde is ingesteld. Als de waarde een andere waarde is dan 0, noteer dan de waarde en eenheden.

      Voorbeeld van uitvoer:

      Values:
    CRLOverlapPeriod      REG_SZ = Hours
    CRLOverlapUnits        REG_DWORD = 0
CertUtil: -getreg command completed successfully.
    6. Voer de opdracht certutil -getreg CA\CRLpe* in om de CRLP-periode te controleren, die is ingesteld in stap 3.

      Voorbeeld van uitvoer:

      Values:
    CRLPeriod      REG_SZ = Days
    CRLUnits        REG_DWORD = 7
CertUtil: -getreg command completed successfully.
    7. Bereken de CRL-respijtperiode als volgt:

         a. indien CRLOverlapPeriod in stap 5 is ingesteld: OVERLAP = CRLOverlapPeriod, in minuten;

            Anders: OVERLAP = (CRLPeriode / 10), in minuten

         b. Bij een overlapping van > 720 = 720

         c. Als overlapping < (1,5 * ClockSkewMinutes) dan overlapping = (1,5 * ClockSkewMinutes)

         d. Als OVERLAP > CRLPeriode, in minuten dan OVERLAP = CRLPeriode in minuten

         e. Aflossingsvrije periode = OVERLAP + ClockSkewMinutes

      Example:

As stated above, CRLPeriod was set to 7 days, or 10248 minutes and CRLOverlapPeriod was not set.


      a. OVERLAP = (10248 / 10) = 1024.8 minutes
b. 1024.8 minutes is > 720 minutes : OVERLAP = 720 minutes
c. 720 minutes is NOT < 15 minutes : OVERLAP = 720 minutes
d. 720 minutes is NOT > 10248 minutes : OVERLAP = 720 minutes
e. Grace Period = 720 minutes + 10 minutes = 730 minutes

      De berekende aflossingsvrije periode is de tijd tussen het moment waarop de certificeringsinstantie het volgende CRL publiceert en het moment waarop het huidige CRL afloopt. ISE moet worden geconfigureerd om de CRL's dienovereenkomstig op te halen.

    8. Meld u aan bij de ISE Primary Admin-node en kies Administration > System > CertificatesBeheerder. Kies in het linkerdeelvenster Trusted Certificatede optie.

      Trusted certificates

    9. Schakel het selectievakje in naast het CA-certificaat waarvoor u CRL's wilt configureren. Klik op de knop .Edit
    10. Vink het Download CRL selectievakje aan onderaan het venster.
    11. Voer in het veld URL voor CRL-distributie het pad naar het distributiepunt voor CRL in, dat het in sectie 2 gemaakte .crl-bestand bevat. In dit voorbeeld is de URL:

          http://win-231pnbs4iph/crld/abtomar-WIN-231PNBS4IPH-CA.crl

    12. ISE kan worden geconfigureerd om de CRL met regelmatige tussenpozen op te halen of op basis van de vervaldatum (die in het algemeen ook een regelmatig interval is). Wanneer het publicatieinterval van de CRL statisch is, worden meer tijdige CRL-updates verkregen wanneer de laatste optie wordt gebruikt. Klik op het Automatically keuzerondje.
    13. Stel de waarde voor ophalen in op een waarde die lager is dan de respijtperiode die is berekend in stap 7. Als de ingestelde waarde langer is dan de respijtperiode, controleert ISE het CRL-distributiepunt voordat de CA het volgende CRL heeft gepubliceerd. In dit voorbeeld wordt de respijtperiode berekend op 730 minuten, of 12 uur en 10 minuten. Een waarde van 10 uur wordt gebruikt voor het ophalen.
    14. Stel het herhalingsinterval in op basis van uw omgeving. Als ISE het CRL niet kan ophalen met het geconfigureerde interval in de vorige stap, probeert het opnieuw met dit kortere interval.
    15. Schakel het Bypass CRL Verification if CRL is not Received selectievakje in om verificatie op basis van certificaten normaal te laten verlopen (en zonder CRL-controle) als ISE de CRL voor deze CA niet kon ophalen tijdens de laatste downloadpoging. Als dit selectievakje niet is ingeschakeld, mislukt alle op certificaten gebaseerde verificatie met certificaten die zijn uitgegeven door deze certificeringsinstantie als het CRL niet kan worden opgehaald.
    16. Schakel het Ignore that CRL is not yet valid or expired selectievakje in om ISE toe te staan verlopen (of nog niet geldige) CRL-bestanden te gebruiken alsof ze geldig zijn. Als dit selectievakje niet is ingeschakeld, beschouwt ISE een CRL als ongeldig vóór de ingangsdatum en na de volgende updatetijden. Klik Save om de configuratie te voltooien.

      Certificate status validation

    Verifiëren

    Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

    Problemen oplossen

    Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    16-Feb-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Abhishek Tomar
      Cisco TAC Engineer
    • Justin Teixeira
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten