Introdução
Este original descreve como renovar dois Certificados que são usados para o protocolo simple certificate enrollment (SCEP): Troque o certificado do agente do registro e da criptografia CEP no microsoft ative directory 2012.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Conhecimento básico da configuração do microsoft ative directory
- Conhecimento básico da chave pública Infrastracture (PKI)
- Conhecimento básico do Identity Services Engine (ISE)
As informações neste documento são baseadas nestas versões de software e hardware:
- Versão 2.0 do Cisco Identity Services Engine
- Microsoft ative directory 2012 R2
Problema
Cisco ISE usa o protocolo scep para apoiar o registro pessoal do dispositivo (BYOD que onboarding). Ao usar um SCEP externo CA, este CA é definido por um perfil do RA SCEP no ISE. Quando um perfil do RA SCEP é criado, dois Certificados estão adicionados automaticamente à loja dos certificados confiáveis:
- Certificado de raiz CA,
- Certificado do RA (autoridade de registro) que é assinado pelo CA.
O RA é responsável para receber e validar o pedido do dispositivo registrando-se, e enviá-lo ao CA que emite o certificado de cliente.
Quando o certificado do RA expira, não está renovado automaticamente no lado CA (Windows Server 2012 neste exemplo). Isso deve manualmente ser feito pelo administartor ativo Directory/CA.
Está aqui o exemplo como conseguir isso em Windows Server 2012 R2.
Certificados iniciais SCEP visíveis no ISE:
A suposição é que o CERTIFICADO MSCEP-RA está expirado e tem que ser renovado.
Solução
Cuidado: Todas as mudanças em Windows Server devem ser consultadas com seu administrador primeiramente.
1. Identifique chaves privadas velhas
Encontre chaves do privite associadas com os Certificados do RA no diretório ativo usando a ferramenta do certutil. Em seguida isso encontra o recipiente chave.
certutil -store MY %COMPUTERNAME%-MSCEP-RA
Note por favor que se o nome de seu certificado inicial MSCEP-RA é diferente então deve ser ajustado neste pedido. Contudo, à revelia deve conter o nome de computador.
2. Chaves privadas velhas da supressão
Suprima de consultar chaves manualmente do dobrador abaixo:
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
3. Suprima de ceritificates velhos MSCEP-RA
Após ter suprimido das chaves privadas, remova os ceritificates MSCEP-RA do console MMC.
O > Add MMC > de arquivo/remove Pressão-em… > Add “Ceritificates” > conta > computador local do computador
4. Gerencia Certificados novos para o SCEP
4.1. Gerencia o certificado do registro da troca
4.1.1. Crie um arquivo cisco_ndes_sign.inf com o índice abaixo. Esta informação é usada mais tarde pelo certreq.exetool a fim gerar a solicitação de assinatura de certificado (CSR):
[NewRequest]
Subject = “CN=NEW-MSCEP-RA,OU=Cisco,O=Systems,L=Krakow,S=Malopolskie,C=PL”
Exportable = TRUE
KeyLength = 2048
KeySpec = 2
KeyUsage = 0x80
MachineKeySet = TRUE
ProviderName = “Microsoft Enhanced Cryptographic Provider v1.0″
ProviderType = 1
[EnhancedKeyUsageExtension]
OID = 1.3.6.1.4.1.311.20.2.1
[RequestAttributes]
CertificateTemplate = EnrollmentAgentOffline
Dica: Se você copia este molde do arquivo, certifique-se ajustá-lo conforme suas exigências e verificar se todos os caráteres são copiados corretamente (incluindo a cotação - marcas).
4.1.2. Crie o CSR baseado no arquivo do .INF com este comando:
certreq -f -new cisco_ndes_sign.inf cisco_ndes_sign.req
Se o usuário de advertência do diálogo molde do contexto que opõe ao contexto da máquina estala acima, clica a APROVAÇÃO. Este aviso pode ser ignorado.
4.1.3. Submeta o CSR com este comando:
certreq -submit cisco_ndes_sign.req cisco_ndes_sign.cer
Durante este procedimento um indicador estala acima e o CA apropriado tem que ser escolhido.
4.1.4 Aceite o certificado emitido na etapa precedente. Em consequência deste comando, o certificado novo é importado e movido para a loja pessoal do computador local:
certreq -accept cisco_ndes_sign.cer
4.2. Gerencia o certificado da criptografia CEP
4.2.1. Crie um arquivo novo cisco_ndes_xchg.inf:
[NewRequest]
Subject = "CN=NEW-MSCEP-RA,OU=Cisco,O=Systems,L=Krakow,S=Malopolskie,C=PL"
Exportable = TRUE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0x20
MachineKeySet = TRUE
ProviderName = “Microsoft RSA Schannel Cryptographic Provider”
ProviderType = 12
[EnhancedKeyUsageExtension]
OID = 1.3.6.1.4.1.311.20.2.1
[RequestAttributes]
CertificateTemplate = CEPEncryption
Siga as mesmas etapas como descrito em 4.1.
4.2.2. Gerencia um CSR baseado no arquivo novo do .INF:
certreq -f -new cisco_ndes_xchg.inf cisco_ndes_xchg.req
4.2.3. Submeta o pedido:
certreq -submit cisco_ndes_xchg.req cisco_ndes_xchg.cer
4.2.4: Aceite o certificado novo movendo o na loja pessoal do computador local:
certreq -accept cisco_ndes_xchg.cer
5. Verificar
Após ter terminado etapa 4, dois Certificados novos MSCEP-RA aparecerão na loja pessoal do computador local:
Igualmente você pode verificar os Certificados com ferramenta certutil.exe (se certifique que você usa o nome novo correto do certificado). Os Certificados MSCEP-RA com nomes comuns novos e números de série novos devem ser indicados:
certutil -store MY NEW-MSCEP-RA
6. Reinício IIS
Server do Internet Information Services do reinício (IIS) a fim aplicar as mudanças:
iisreset.exe
7. Crie o perfil novo do RA SCEP
No ISE crie um perfil novo do RA SCEP (com o mesmo server URL que velha), assim que os Certificados novos são transferidos e adicionados aos certificados confiáveis a loja:
8. Altere o molde de certificado
Certifique-se que o perfil novo do RA SCEP está especificado no molde de certificado usado por BYOD (você pode o verificar na administração > no sistema > nos Certificados > no Certificate Authority > nos moldes dos Certificados):
Referências
1. Artigo da zona de Microsoft Technet
2. Manuais de configuração de Cisco ISE