本文描述运行互联网信息服务微软认证授权(CA)服务器的配置(IIS)发布证书撤销列表(CRL)更新。它也解释如何配置思科身份服务引擎(ISE) (版本1.1和以上)检索更新用于证书确认。在证书确认使用可以配置的ISE检索多种CA根证明的Crl。
There are no specific requirements for this document.
本文档中的信息基于以下软件和硬件版本:
Cisco Identity Services Engine Release 1.1.2.145
微软视窗®服务器® 2008 R2
The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
本部分提供有关如何配置本文档所述功能的信息。
Note: 使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息。
本文档使用以下配置:
第1.部分创建并且配置在CA的一个文件夹安置CRL文件
第2.部分创建IIS的一个站点显示新的控制分配点
第3.部分配置Microsoft CA服务器发布CRL文件到分配点
第4.部分验证CRL文件存在并且通过IIS是可访问的
第5.部分配置ISE使用新的控制分配点
首要任务是配置CA服务器的一个位置存储CRL文件。默认情况下, Microsoft CA服务器发布文件对C:\Windows\system32\CertSrv\CertEnroll\。而不是请使用此系统文件夹,请创建文件的一新文件夹。
在IIS服务器上,请选择文件系统的一个位置并且创建新文件夹。在本例中,文件夹C:\CRLDistribution被创建。
为了CA能把CRL文件写到新文件夹,共享一定是启用的。用鼠标右键单击新文件夹,选择属性,点击共享的选项和然后点击先进共享。
为了共享文件夹,请检查共用此文件夹复选框然后添加美元的符号($)到共用名字的结尾在共用名称字段的隐藏共用。
点击权限(1),点击加(2),点击对象类型(3),并且检查计算机复选框(4)。
为了返回到挑选用户,计算机,服务帐户或者Groups窗口,点击OK键。在进入对Select字段的对象名,输入CA服务器的计算机名称并且点击检查名字。如果输入的名字是有效的,名字刷新并且看上去加下划线。单击 Ok。
在组或用户名名称字段,请选择CA计算机。检查允许完全控制授予全部存取CA.点击OK。再点击OK键关上先进的共享的窗口和返回到Properties窗口。
为了允许CA把CRL文件写到新文件夹,请配置适当的安全权限。点击安全选项(1),点击编辑(2),点击加(3),点击对象类型(4),并且检查计算机复选框(5)。
在进入对Select字段的对象名,输入CA服务器的计算机名称并且点击检查名字。如果输入的名字是有效的,名字刷新并且看上去加下划线。单击 Ok。
选择在组或用户名名称字段的CA计算机然后检查允许完全控制授予全部存取CA.点击OK然后点击接近完全任务。
为了ISE能访问CRL文件,请做安置CRL文件可访问通过IIS的目录。
在IIS服务器工具栏,请点击开始。选择管理工具> Internet信息服务(IIS)管理器。
在左窗格中(叫作控制台结构树),请扩展IIS服务器名然后扩展站点。
用鼠标右键单击默认网站并且选择添加虚拟目录。
在Alias字段,请输入站点名字对于控制分配点。在本例中, CRLD被输入。
在物理路径领域右边点击省略号(…)并且访问到在创建的文件夹第1.部分精选文件夹并且点击OK键。点击OK键关上添加虚拟目录窗口。
应该用左窗格突出显示在输入的站点名字第4步。否则,当前请选择它。在中心的面中,请双击目录访问。
在右窗格中,请点击Enable (event)对enable (event)目录访问。
在左窗格中,再请选择站点名字。在中心的面中,请双击配置编辑器。
在部分下拉列表中,请选择system.webServer/安全/requestFiltering。在allowDoubleEscaping的下拉列表中,请选择真。在右窗格中,请点击适用。
文件夹应该当前是可访问的通过IIS。
即然配置新文件夹安置CRL文件,并且文件夹在IIS显示了,请配置Microsoft CA服务器发布CRL文件到新的位置。
在CA服务器工具栏,请点击开始。选择管理Tools>认证机关。
在左窗格中,请用鼠标右键单击CA名字。选择属性然后点击扩展选项。为了添加新的控制分配点,请点击添加。
在Location字段,请输入路径到被创建和共有的文件夹在第1.部分。在第1部分的示例中,路径是:
\\RTPAAA-DC1\CRLDistribution$\
当Location字段被填充,从可变的下拉列表请选择<CaName>然后点击插入键。
从可变的下拉列表,请选择<CRLNameSuffix>然后点击插入键。
在Location字段,请添附.crl对路径的末端。在本例中,位置是:
\\RTPAAA-DC1\CRLDistribution$\<CaName><CRLNameSuffix>.crl
点击OK键返回到扩展选项。检查发布Crl到此位置复选框(1)然后点击OK(2)关上Properties窗口。提示出现为了权限能重新启动激活目录证书服务。点击是(3)。
在左窗格中,请用鼠标右键单击被废除的证书。选择所有任务>发布。保证新的CRL选择然后点击OK键。
Microsoft CA服务器应该创建在创建的文件夹的一个新的.crl文件第1.部分。如果新的CRL文件顺利地被创建将没有对话,在好后点击。如果错误关于新的分配点文件夹返回,请仔细重复在此部分的每个步骤。
验证新的CRL文件存在,并且那他们通过从另一个工作站的IIS是可访问的,在您开始此部分前。
在IIS服务器上,请打开在创建的文件夹第1.部分。应该有单个.crl文件当前与<CANAME>是CA服务器的名字的表<CANAME>.crl。在本例中,文件名是:
rtpaaa-CA.crl
从网络的一个工作站(理想地说在网络和ISE主要的Admin节点一样),请打开Web浏览器并且访问对<SERVER>是在配置的IIS服务器服务器名第2部分的http:// <SERVER>/<CRLSITE>,并且<CRLSITE>是为在第2.部分的分配点选择的站点名字。在本例中, URL是:
http://RTPAAA-DC1/CRLD
目录索引显示,在step1包含被观察的文件。
在配置ISE检索CRL前,请定义间隔发布CRL。确定此间隔的策略是超出本文的范围之外。潜在的值(在Microsoft CA)是1小时到411年,包含的。DEFAULT值是1个星期。一旦确定了您的环境的一个适当的间隔,请设置与这些指令的间隔:
在CA服务器工具栏,请点击开始。选择管理Tools>认证机关。
在左窗格中,请扩展CA.用鼠标右键单击被取消的证书文件夹并且选择属性。
在CRL出版物间隔字段,请输入所需数量的并且选择时间。点击OK键关上窗口和应用更改。在本例中,配置出版物间隔7天。
您应该当前确认几个注册值,将帮助确定在ISE的CRL检索设置。
输入certutil - getreg CA \ Clock*命令确认ClockSkew值。DEFAULT值是10分钟。
输出示例:
Values: ClockSkewMinutes REG_DWORS = a (10) CertUtil: -getreg command completed successfully.
输入certutil - getreg CA \ CRLov*命令验证是否手工设置CRLOverlapPeriod。默认情况下CRLOverlapUnit值是0,表明未设置手工的值。除0之外,如果值是值,请记录值和单元。
输出示例:
Values: CRLOverlapPeriod REG_SZ = Hours CRLOverlapUnits REG_DWORD = 0 CertUtil: -getreg command completed successfully.
输入certutil - getreg CA \ CRLpe*命令验证CRLPeriod,在第3.步设置。
输出示例:
Values: CRLPeriod REG_SZ = Days CRLUnits REG_DWORD = 7 CertUtil: -getreg command completed successfully.
计算CRL宽限期如下:
如果CRLOverlapPeriod在第5步设置:重叠= CRLOverlapPeriod,以分钟;
:重叠= (CRLPeriod/10),以分钟
如果重叠> 720然后重叠= 720
如果重叠< (1.5 * ClockSkewMinutes)然后重叠= (1.5 * ClockSkewMinutes)
如果重叠> CRLPeriod,在分钟然后重叠= CRLPeriod以分钟
宽限期= 720分钟+ 10分钟= 730分钟
示例:
As stated above, CRLPeriod was set to 7 days, or 10248 minutes and CRLOverlapPeriod was not set. a. OVERLAP = (10248 / 10) = 1024.8 minutes b. 1024.8 minutes is > 720 minutes : OVERLAP = 720 minutes c. 720 minutes is NOT < 15 minutes : OVERLAP = 720 minutes d. 720 minutes is NOT > 10248 minutes : OVERLAP = 720 minutes e. Grace Period = 720 minutes + 10 minutes = 730 minutes
被计算的宽限期是时间在之间,当CA发布下个CRL时,并且,当当前CRL到期时。需要配置ISE相应地检索Crl。
登陆对主要的Admin节点并且选择管理>System >证书。在左窗格中,请选择证书存储。
在您打算配置Crl的CA证书旁边检查证书存储复选框。点击编辑。
在窗口的底部附近,请检查下载CRL复选框。
在CRL分配URL字段,请输入路径对控制分配点,包含.crl文件,被创建在第2.部分。在本例中, URL是:
http://RTPAAA-DC1/CRLD/rtpaaa-ca.crl
可以配置ISE定期检索CRL或根据,一般来说,也是一个固定的间隔)的到期(。当CRL发布时间隔是静态,更加及时的CRL更新获得,当使用时后选项。点击自动地单选按钮。
比在计算的宽限期设置检索的值为值第7.步。如果值集比宽限期长, ISE检查控制分配点,在CA发布了下个CRL前。在本例中,宽限期被计算是730分钟或者12小时和10分钟。10小时的值将使用检索。
设置重试间隔如适当为您的环境。如果ISE不能检索CRL在上一步的配置的间隔,将再试在此更短的间隔。
请检查旁路CRL验证,如果CRL不是允许基于认证的认证的接收的复选框通常进行(和没有CRL检查),如果ISE无法检索此CA的CRL在其前个下载尝试。如果此复选框没有被检查,与此CA发行的证书的所有基于认证的认证将发生故障,如果CRL不可能被检索。
检查忽略CRL不是有效或过期的复选框允许ISE使用过期(或没有效) CRL文件,好象他们有效的。如果此复选框没有被检查, ISE认为CRL无效在他们的有效日期之前和在他们的下一次更新时间之后。点击“Save”完成配置。
当前没有可用于此配置的验证过程。
目前没有针对此配置的故障排除信息。