Sécurité : Moteur des services d'identité Cisco

Configurez le soutien SCEP de BYOD

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (11 avril 2013) | Commentaires

Introduction

Ce document décrit les étapes et les mises en garde exigées afin de déployer avec succès le service d'inscription de périphérique du réseau de Microsoft (NDES) et l'inscription de certificat simple Protocol (SCEP) pour Bring votre propre périphérique (BYOD).

Contribué par le Pula de Todd, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Version 1.1.1 du Cisco Identity Services Engine (ISE) ou plus tard.
  • Microsoft Windows Server 2008 R2.
  • Infrastructure à clés publiques (PKI) et Certificats.

Composants utilisés

  • Version 1.1.1 ISE ou plus tard
  • Windows Server 2008 R2 SP1 avec les correctifs KB2483564 et KB2633200 installés

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut).  Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Le relatif à l'information aux services de certificat de Microsoft est donné comme guide spécifiquement pour Cisco BYOD. Veuillez se référer au TechNet de Microsoft comme source définitive de vérité pour l'autorité de certification de MS, le service d'inscription de périphérique de réseau (NDES), et les configurations du serveur associées par SCEP.

Informations générales

Un des avantages de l'implémentation ISE-activée BYOD de Cisco est capacité des utilisateurs ' d'exécuter l'enregistrement de périphérique de libre-service. Ceci élimine la charge administrative sur le service informatique afin de distribuer des qualifications d'authentification et des périphériques d'enable sur le réseau. Au coeur de BYOD la solution est le processus d'approvisionnement de suppliant de réseau, qui recherche à distribuer les Certificats requis aux périphériques possédés par employé. Afin de répondre à cette exigence, un Microsoft Certificate Authority (CA) peut être configuré pour automatiser le procédé d'inscription de certificat avec le SCEP. SCEP a été utilisé pendant des années dans des environnements du réseau privé virtuel (VPN) pour faciliter l'inscription de certificat et la distribution aux clients et aux Routeurs d'Accès à distance. L'activation de la fonctionnalité SCEP sur un serveur R2 de Windows 2008 exige l'installation du NDES. Pendant l'installation de rôle NDES, le web server de l'Internet Information Services de Microsoft (IIS) est également installé. IIS est utilisé pour terminer le HTTP ou les demandes d'enregistrement et les réponses HTTPS SCEP noeud entre CA et ISE stratégie. Le rôle NDES peut être installé sur un courant CA, ou il peut être installé sur un serveur membre. Dans un déploiement autonome, le service NDES est installé sur un CA existant qui inclut le service d'autorité de certification et, sur option, le service d'inscription de Web d'autorité de certification. Dans un déploiement distribué, le service NDES est installé sur un serveur membre. Le serveur distribué NDES est alors configuré pour communiquer avec une racine ou une sous-titre-racine en amont CA. Dans ce scénario, les modifications de registre tracées les grandes lignes dans ce document sont apportées sur le serveur NDES avec le modèle personnalisé et les Certificats résidant sur l'en amont CA.

Avant que vous configuriez le soutien SCEP de BYOD, assurez-vous que le serveur de Windows 2008 R2 NDES fait installer ces correctifs de Microsoft :

Configurez

Condition requise de mot de passe de défi d'inscription du débronchement SCEP

Par défaut, l'implémentation SCEP de Microsoft (MSCEP) emploie un mot de passe de défi dynamique pour authentifier des clients et des points finaux dans tout le procédé d'inscription de certificat. Avec cette configuration requise en place, les utilisateurs doivent parcourir au GUI de Web d'admin MSCEP sur le serveur NDES pour générer un à la demande de mot de passe. En tant qu'élément de la demande d'enregistrement, l'utilisateur doit inclure ce mot de passe.

Dans un déploiement BYOD, la condition requise d'un mot de passe de défi défait le but d'une solution de libre-service d'utilisateur. Afin de retirer cette condition requise, cette clé de registre doit être modifiée sur le serveur NDES :

  1. Cliquez sur le début et écrivez le regedit dans la barre de recherche.
  2. Naviguez vers : Ordinateur > HKEY_LOCAL_MACHINE > LOGICIEL > Microsoft > chiffrement > MSCEP > EnforcePassword.
  3. Assurez-vous que la valeur d'EnforcePassword est placée à « 0" (le par défaut est "1").

116068-configure-scep-support-byod-01.png

Comment étendre la longueur URL dans IIS

Il est possible que ISE génèrent l'URLs, qui sont trop longs pour le web server IIS. Pour éviter ce problème, la configuration du par défaut IIS peut être modifiée pour permettre un plus long URLs.

Remarque: La taille de chaîne de requête pourrait varier la personne à charge sur la configuration ISE et de point final. Cette commande devrait être sélectionnée de la ligne de commande de serveur NDES avec des privilèges d'administrateur :


%systemroot%\system32\inetsrv\appcmd.exe set config /section:system.webServer/security/
requestFiltering/requestLimits.maxQueryString:"8192" /commit:apphost

116068-configure-scep-support-byod-02.png

Aperçu de modèle de certificat

Les administrateurs de Microsoft CA peuvent configurer un ou plusieurs modèles qui sont utilisés pour s'appliquer des stratégies d'application à un ensemble commun de Certificats. Ces stratégies aident à identifier quelle fonction le certificat et les clés associées doivent être utilisé. Les valeurs de stratégie d'application sont contenues dans le domaine étendu de l'utilisation principale (EKU) du certificat. L'authentificateur analyse les valeurs dans le domaine EKU pour s'assurer que le certificat présenté par le client peut être utilisé pour la fonction destinée. Certaines des utilisations plus communes incluent l'authentification de serveur, l'authentification client, l'IPSec VPN, et le courrier électronique. En termes d'ISE, les valeurs généralement utilisées EKU incluent le serveur et/ou l'authentification client.

Quand vous parcourez à un site Web sécurisé de banque, par exemple, le web server qui traite la demande est configuré avec un certificat avec une stratégie d'application de l'authentification de serveur. Quand le serveur reçoit une demande HTTPS, elle envoie son certificat d'authentification de serveur au navigateur Web se connectant pour l'authentification. Le point important ici est que c'est un échange unidirectionnel du serveur au client. Car il associe à ISE, un d'usage courant pour un certificat d'authentification de serveur est accès GUI d'admin. ISE envoie son certificat configuré au navigateur connecté et ne le compte pas recevoir un certificat de retour du client.

Quand il s'agit de services tels que BYOD qui utilisent l'EAP-TLS, l'authentification mutuelle est préférée. Afin d'activer cet échange bidirectionnel de certificat, le modèle utilisé pour générer le certificat d'identité ISE doit posséder une stratégie minimum d'application de l'authentification de serveur. Le modèle de certificat de serveur Web répond à cette exigence. Le modèle de certificat qui génère les Certificats de point final doit contenir une stratégie minimum d'application de l'authentification client. Le modèle de certificat utilisateur répond à cette exigence. Si vous configurez ISE pour des services tels que le point intégré d'application de stratégie (iPEP), le modèle utilisé pour générer le certificat d'identité de serveur ISE devrait contenir les deux attributs d'authentification de client et serveur. Ceci permet aux Noeuds d'admin et d'en ligne pour s'authentifier mutuellement. Une pratique recommandée à la future preuve le déploiement ISE est de s'assurer que les certificats d'identité de serveur ISE incluent les deux attributs d'authentification de client et serveur. Le serveur Web et les grilles utilisateur par défaut de Microsoft CA peuvent être réutilisés ou un nouveau modèle peut être copié et créé avec le processus tracé les grandes lignes dans ce document. Basé sur ces conditions requises de certificat, la configuration CA et l'ISE résultant et des Certificats de point final devraient être soigneusement prévus afin de réduire tous les changements de configuration non désirés une fois installés d'un environnement de production.

116068-configure-scep-support-byod-03.png

Configuration de modèle de certificat

Comme observé dans l'introduction, SCEP est très utilisé dans des environnements d'IPSec VPN. En conséquence, l'installation du rôle NDES configure automatiquement le serveur pour utiliser le modèle d'IPSec (demande hors ligne) pour SCEP. Pour cette raison, une des premières étapes dans la préparation de Microsoft CA pour BYOD est d'établir un nouveau modèle avec la stratégie d'application appropriée. Dans un déploiement autonome, l'autorité de certification et des services NDES sont colloqués sur le même serveur. En conséquence, les modèles et les modifications exigées de registre sont contenus au même serveur. Dans un déploiement distribué NDES, les modifications de registre sont apportées sur le serveur NDES ; cependant, les modèles réels sont définis sur le serveur de racine ou de sous-titre-racine CA spécifié à l'installation de service NDES.

Voici les étapes utilisées afin de configurer le modèle de certificat :

  1. Login au serveur CA avec l'utilisateur d'admin.
  2. Début de clic > outils d'administration > autorité de certification.
  3. Développez les petits groupes de serveur CA et sélectionnez le répertoire de modèles de certificat. Ce répertoire contient une liste des modèles actuellement activés.
  4. Afin de gérer les modèles de certificat, le clic droit sur le répertoire de modèles de certificat et choisir gèrent.
  5. Dans la console de modèles de certificat, un certain nombre de modèles inactifs sont affichés.
  6. Afin de configurer un nouveau modèle pour l'usage avec SCEP, clic droit sur un modèle qui existe déjà, comme l'utilisateur, et choisit le modèle en double.
  7. Choisissez alors Windows 2003 ou Windows 2008, dépendant sur le système d'exploitation du minimum CA (SYSTÈME D'EXPLOITATION) dans l'environnement.
  8. Sur l'onglet Général, ajoutez un nom d'affichage, tel qu'ISE-BYOD et période de validité ; laissez toutes autres options décochées

    Remarque: La période de validité de modèle doit être inférieur ou égal à la période de validité des Certificats de la racine et de l'intermédiaire du Ca.
  9. Cliquez sur en fonction l'onglet d'extensions ; cliquez sur en fonction les stratégies d'application ; cliquez sur Edit alors.
  10. Cliquez sur Add et assurez-vous que l'authentification client est ajoutée comme stratégie d'application. Cliquez sur OK.
  11. Cliquez sur en fonction l'onglet Sécurité, cliquez sur Add…. Assurez-vous que le compte des services SCEP défini à l'installation de service NDES a le plein contrôle du modèle. Cliquez sur OK.
  12. Revenez à l'interface gui d'autorité de certification.
  13. Clic droit sur le répertoire de modèles de certificat. Naviguez vers nouveau > modèle de certificat à émettre.
  14. Sélectionnez le modèle ISE-BYOD configuré précédemment et cliquez sur OK.
  15. Alternativement, activez le modèle avec le CLI :
    certutil - SetCAtemplates +ISE-BYOD
  16. Le modèle ISE-BYOD devrait maintenant être répertorié dans la liste activée de modèle de certificat.

Configuration de registre de modèle de certificat

Voici les étapes utilisées afin de configurer les clés de registre de modèle de certificat :

  • Connectez au serveur NDES.
  • Cliquez sur le début et écrivez le regedit dans la barre de recherche.
  • Naviguez vers : Ordinateur > HKEY_LOCAL_MACHINE > LOGICIEL > Microsoft > chiffrement > MSCEP.
  • Changez les clés d'EncryptionTemplate, de GeneralPurposeTemplate, et de SignatureTemplate d'IPSec (demande hors ligne) au modèle ISE-BYOD précédemment créé.
  • Redémarrez le serveur NDES afin d'appliquer les paramètres de registre.

116068-configure-scep-support-byod-04.png

Configurez ISE comme proxy SCEP

Dans un déploiement BYOD, le point final ne communique pas directement avec le serveur du backend NDES. Au lieu de cela, le noeud de stratégie ISE est configuré comme proxy SCEP et communique avec le serveur NDES au nom des points finaux. Les points finaux communiquent directement avec ISE. L'exemple IIS sur le serveur NDES peut être configuré pour prendre en charge des attaches de HTTP et/ou HTTPS pour les répertoires virtuels SCEP.

Voici les étapes afin de configurer ISE comme proxy SCEP :

  1. Connectez-vous dans le GUI ISE avec des qualifications d'admin.
  2. Cliquez sur en fonction la gestion > les Certificats > les profils SCEP CA.
  3. Cliquez sur Add.
  4. Écrivez le nom du serveur et la description.
  5. Écrivez l'URL pour le serveur SCEP avec l'IP ou le nom de domaine complet (FQDN), par exemple, http://10.10.10.10/certsrv/mscep/
  6. Connectivité de test de clic.
  7. Une connexion réussie a comme conséquence un message réussi de popup de réponse de serveur.
  8. Sauvegarde de clic pour appliquer la configuration.
  9. Afin de vérifier, cliquez sur en fonction la gestion > les Certificats > la mémoire de certificat et les confirmez que le certificat de RA de serveur SCEP NDES a été automatiquement téléchargé au noeud ISE.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

  • Décomposez la topologie du réseau BYOD en buts logiques afin d'aider à l'identifier mettent au point et capturent des points le long du chemin entre ces points finaux - ISE, NDES, et CA.
  • Assurez-vous qu'on permet bidirectionnel le TCP 80 et/ou le TCP 443 entre ISE et le serveur NDES.
  • Testez avec un ordinateur Windows en raison de se connecter amélioré de côté client.
  • Des logs surveillez CA et NDES serveur d'application pour des erreurs d'enregistrement et employez Google ou le TechNet pour rechercher ces erreurs.
  • Dans toute la phase de test, le HTTP d'utilisation pour SCEP afin de faciliter des captures de paquet entre ISE, le NDES, et le CA.
  • Utilisez l'utilitaire de vidage mémoire de TCP sur le RPC ISE et surveillez le trafic à et du serveur NDES. Ceci se trouve sous des exécutions > des outils de diagnostic > les outils généraux.
  • Installez Wireshark sur le serveur CA et NDES ou l'ENVERGURE d'utilisation sur les Commutateurs intermédiaires afin de capturer le trafic SCEP à et du RPC ISE.
  • Assurez-vous que la chaîne appropriée de certificat de CA installée sur le noeud de stratégie ISE pour l'authentification des certificats client.
  • Assurez-vous que la chaîne appropriée de certificat de CA est automatiquement installée sur les clients pendant onboarding.
  • Visionnez les certificats d'identité ISE et de point final et les confirmez préalablement que les attributs corrects EKU sont présents.
  • Surveillez l'authentification vivante ouvre une session le GUI ISE pour des pannes d'authentification et d'autorisation.

    Remarque: Quelques suppliants n'initialisent pas un échange de certificat client si l'EKU faux est présent, par exemple, un certificat client avec EKU de l'authentification de serveur. Par conséquent, les échecs d'authentification ne pourraient pas toujours être présents dans les logs ISE.
  • Quand NDES est installé dans un déploiement distribué, une racine ou une sous-titre-racine distante CA sera indiquée par le nom ou le nom de l'ordinateur CA à l'installation de service. Le serveur NDES envoie des demandes d'enregistrement de certificat à ce serveur de la cible CA. Si la procédure d'enregistrement de certificat de point final échoue, les captures de paquet (PCAP) pourraient afficher au retour de serveur NDES une erreur 404 non trouvée au noeud ISE. Afin d'essayer de résoudre, réinstaller le service NDES et sélectionner l'option de nom de l'ordinateur au lieu du nom CA.

Se connecter de côté client

  • Windows : Log %temp% \ spwProfileLog.txt.
  • Androïde : /sdcards/downloads/spw.log.
  • MAC OSX : Utilisez l'app de console et recherchez le processus SPW.
  • IOS : Doit employer l'utilitaire de configuration d'iPhone (iPCU) pour voir des messages.

Se connecter ISE

Employez ces étapes afin de visualiser le log ISE :

  • Naviguez vers la gestion > en se connectant > configuration de log de debug et sélectionnez le noeud approprié de stratégie ISE.
  • Placez ces logs pour mettre au point ou tracer au besoin : client, ravitaillement.
  • Reproduisez le problème et documentez les informations appropriées de graine afin de faciliter rechercher, comme le MAC, IP, l'utilisateur, et ainsi de suite.
  • Naviguez vers des exécutions > des logs de téléchargement et sélectionnez le noeud approprié ISE.
  • Sur le debug les logs tabulent, téléchargent les logs nommés ise-psc.log à l'appareil de bureau.
  • Employez un éditeur intelligent, tel que Notepad ++ afin d'analyser les fichiers journal.
  • Quand la question a été isolée, alors renvoyez les niveaux de log à leur niveau par défaut.

NDES se connectant et dépannant

Le pour en savoir plus, se rapportent au NDES se connectant et dépannage de la documentation sur le TechNet.

Informations connexes


Communauté de support Cisco - Conversations à l'affiche

La Communauté de support Cisco est un forum où vous pouvez poser vos questions et répondre à d'autres, offrir des conseils et collaborer avec des collègues. Voici quelques séances parmi les plus récentes et importantes présentées dans notre forum.


Document ID: 116068