Configurar o apoio HTTPS para a integração ISE SCEP

Opções de download

  • PDF     (90.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (71.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (70.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:31 de Julho de 2013
ID do documento:116238

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve as etapas exigidas configurar o apoio seguro do protocolo de transferência de hipertexto (HTTPS) para a integração segura do protocolo do certificado de registro (SCEP) com o Identity Services Engine (ISE).

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conhecimento básico do servidor de Web do Internet Information Services de Microsoft (IIS)
  • Experiência na configuração do SCEP e em Certificados no ISE

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • O ISE libera 1.1.x
  • Empresa R2 de Windows Server 2008 com os hotfix para KB2483564KB2633200 instalados

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

O relativo à informação aos serviços certificados de Microsoft é fornecido como guia especificamente para Cisco Bring Your Own Device (BYOD). Refira TechNet de Microsoft como a fonte definitiva de verdade para a autoridade de certificação de Microsoft, o serviço do registro do dispositivo de rede (NDE), e configurações do servidor relativas SCEP.

 

Informações de Apoio

Em um desenvolvimento BYOD, um dos componentes centrais é um servidor de empreendimento R2 de Microsoft 2008 que tenha o papel NDE instalado.  Este server é um membro da floresta do diretório ativo (AD).  Durante a instalação inicial dos NDE, o servidor de Web IIS de Microsoft automaticamente é instalado e configurado para apoiar a terminação HTTP do SCEP.  Em disposições algum BYOD, os clientes puderam querer fixar mais as comunicações entre o ISE e os NDE usando o HTTPS.  Este procedimento detalha as etapas exigidas para pedir e instalar um certificado do Secure Socket Layer (SSL) para o Web site SCEP.

Configurar

Configuração do certificado de servidor NDE

Nota:  Você deve configurar um certificado novo para o IIS (exigido somente quando o IIS está integrado com uma 3ª parte PKI tal como Verisign ou quando o Certification Authority (CA) e os papéis do servidor NDE estão separados em servidores separados). Na instalação, se o papel NDE está em um Microsoft CA server atual, o IIS usa o certificado de identidade do server criado durante a instalação de CA.  Para configurações independente tais como isto, salte diretamente à seção de configuração obrigatória do server IIS NDE neste documento.

  1. Conecte aos NDE o server através do console ou do RDP.
  2. Iniciar > Ferramentas Administrativas do clique - > gerente do Internet Information Services (IIS).
  3. Destaque o nome de servidor IIS e clique o ícone dos certificados de servidor.

  4. Clique sobre o pedido do certificado Create, e termine os campos.

  5. Abra o arquivo de .cer criado na etapa precedente com um editor de texto e copie o índice à prancheta.

  6. Alcance o Web site do registro da Web de Microsoft CA e clique o pedido um certificado.

    Exemplo URL: http://yourCAIP/certsrv


  7. O clique submete um pedido do certificado usando…. A pasta no índice do certificado da prancheta, e escolhe o molde do servidor de Web.

  8. Clique submetem e salvar então o arquivo certificado ao desktop.
  9. Retorne ao server NDE e abra o gerenciador de IIS utilty. Clique sobre o nome do servidor e clique então o pedido do certificado completo a fim importar o certificado de servidor recém-criado.

Configuração obrigatória do server IIS NDE

  1. Expanda o nome do servidor, expanda locais, website padrão do clique.
  2. Clique emperramentos no canto superior direito.
  3. O clique adiciona, muda o Typeto HTTPS, e escolhe o certificado da lista de drop-down.
  4. Clique em OK.

 

Configuração do servidor ISE

  1. Conecte à relação do registro da Web do server de CA e transfira a corrente de certificado de CA.

  2. Do ISE GUI, navegue à administração - > Certificados - > loja do certificado e importe a corrente de certificado de CA na loja ISE.

  3. Navegue à administração - > Certificados - > perfis SCEP CA e configurar a URL para o HTTPS. Clique a Conectividade do teste e clique então a salvaguarda.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

  • Navegue à administração - > Certificados - > certificado Storeand verificam que a corrente de certificado de CA e o certificado da autoridade de Registro de Servidor NDE (RA) estam presente.
  • Use Wireshark ou descarga TCP para monitorar a troca inicial SSL entre o nó ISE admin e o server NDE.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

  • Divida a topologia de rede BYOD em pontos intermediários lógicos a fim ajudar a identificar debugam e capturam pontos ao longo do trajeto entre estes valores-limite - ISE, NDE, e CA.
  • Assegure-se de que o TCP 443 esteja permitido bidirecional entre o ISE e o server NDE.
  • Monitore logs do aplicativo de servidor de CA e NDE para erros de registro e use Google ou TechNet para pesquisar aqueles erros.
  • Use a utilidade da descarga TCP no ISE PSN e monitore o tráfego a e do server NDE. Isto é ficado situado sob operações > ferramentas de diagnóstico > ferramentas gerais.
  • Instale Wireshark no server NDE ou use o PERÍODO no Switches intermediário a fim capturar o tráfego SCEP a e do ISE PSN.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Informações Relacionadas

TAC Authored

Colaborado por engenheiros da Cisco

  • Todd Pula and Sylvain Levesque
    Cisco TAC Engineers.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos