配置ISE SCEP集成的HTTPS支持
简介
本文描述要求的步骤配置Secure证书登记协议(SCEP)集成的超文本传输协议安全(HTTPS)支持用身份服务引擎(ISE)。
先决条件
要求
Cisco 建议您了解以下主题:
- Microsoft的互联网信息服务(IIS) Web服务器基础知识
- 体验在SCEP和证书的配置里在ISE
使用的组件
本文档中的信息基于以下软件和硬件版本:
- ISE版本1.1.x
- 与ICM Hotfixes的Windows服务器2008 R2企业安装的KB2483564和KB2633200的
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
对Microsoft证书服务提供相关的信息,当一个指南思科的特别地带来您自己的设备(BYOD)。参考的Microsoft的TechNet作为真相明确来源Microsoft证书颁发机构、网络设备登记服务(NDES)和SCEP的涉及服务器配置。
背景信息
在BYOD部署,其中一核心组件是有安装的NDES角色的Microsoft 2008 R2企业服务器。 此服务器是激活目录(AD)森林的成员。 在NDES时初始安装, Microsoft的IIS Web服务器自动地安装并且配置支持SCEP的HTTP终端。 使用HTTPS,在一些BYOD部署,客户也许要进一步巩固ISE和NDES之间的通信。 此步骤选派要求的步骤请求和安装SCEP网站的一安全套接字层SSL证书。
配置
NDES服务器证书配置
- 连接到NDES服务器通过控制台或RDP。
- 点击Start > Administrative Tools - >互联网信息服务(IIS)管理器。
- 突出显示IIS服务器名并且点击服务器证书图标。
- 点击Create证书请求,并且填入字段。
- 打开在与文本编辑的上一步创建的.cer文件并且复制内容对剪贴板。
- 访问Microsoft CA Web登记网站并且点击请求证书。
示例URL :http://yourCAIP/certsrv
- 单击提交证书请求通过使用….粘贴在从剪贴板的证书内容,并且选择Web服务器模板。
- 单击提交然后保存证书文件到桌面。
- 返回到NDES服务器并且打开utilty IIS的管理器。点击服务器名然后单击完整证书请求为了导入新建立的服务器证书。
NDES服务器IIS绑定配置
- 展开服务器名,展开站点,点击默认网站。
- 点击在右上角的捆绑。
- 单击添加,更改Typeto HTTPS,并且从下拉列表选择证书。
- 单击 Ok。
ISE服务器配置
- 连接对CA服务器的Web登记接口并且下载CA证书一系列。
- 从ISE GUI,请导航对管理- >证书- >证书存储并且导入CA证书一系列到ISE存储。
- 导航对管理- >证书- > SCEP CA配置文件并且配置HTTPS的URL。点击测验连接然后单击“Save”。
验证
使用本部分可确认配置能否正常运行。
- 导航对管理- >证书- >证书Storeand验证CA证书一系列和NDES服务器注册机关(RA)证书存在。
- 请使用Wireshark或TCP转储监控在ISE admin节点和NDES服务器之间的初始SSL交换。
命令输出解释程序工具(仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。
故障排除
本部分提供的信息可用于对配置进行故障排除。
- 为逻辑小站划分BYOD网络拓扑为了帮助识别调试和捕获沿路径的点这些终端之间- ISE、NDES和CA。
- 保证TCP 443允许双向在ISE和NDES服务器之间。
- 监控注册错误的CA和NDES服务器应用日志并且请使用谷歌或TechNet研究那些错误。
- 请使用在ISE PSN的TCP转储工具并且到/从NDES服务器监控流量。这查找在操作>诊断工具>General下工具。
- 安装在NDES服务器的Wireshark或在中介交换机的使用SPAN为了到/从ISE PSN捕获SCEP流量。
命令输出解释程序工具(仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。
反馈