In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt die Schritte, die zur erfolgreichen Konfiguration des Microsoft Network Device Enrollment Service (NDES) und Simple Certificate Enrollment Protocol (SCEP) für Bring Your Own Device (BYOD) auf der Cisco Identity Services Engine (ISE) erforderlich sind.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Die Informationen zu Microsoft-Zertifikatsdiensten werden als Leitfaden speziell für Cisco BYOD bereitgestellt. Verweisen Sie auf das Microsoft TechNet als endgültige Quelle der Wahrheit für Microsoft-Zertifizierungsstelle, Network Device Enrollment Service (NDES) und SCEP-bezogene Serverkonfigurationen.
Einer der Vorteile der Cisco ISE-fähigen BYOD-Implementierung besteht in der Möglichkeit für Endbenutzer, Self-Service-Geräteregistrierung durchzuführen. Dadurch entfällt der Verwaltungsaufwand für die IT, Authentifizierungsdaten zu verteilen und Geräte im Netzwerk zu aktivieren. Das Kernstück der BYOD-Lösung bildet der Bereitstellungsprozess für Netzwerkkomponenten, bei dem die erforderlichen Zertifikate an private Endgeräte der Mitarbeiter verteilt werden sollen. Um diese Anforderung zu erfüllen, kann eine Microsoft Certificate Authority (CA) konfiguriert werden, um den Registrierungsprozess für Zertifikate mit dem SCEP zu automatisieren.
SCEP wird seit Jahren in VPN-Umgebungen (Virtual Private Network) verwendet, um die Registrierung und Verteilung von Zertifikaten für Clients und Router mit Remote-Zugriff zu vereinfachen. Die Aktivierung der SCEP-Funktionalität auf einem Windows 2008 R2-Server erfordert die Installation der NDES. Während der NDES-Rolleninstallation wird auch der Microsoft Internet Information Services (IIS)-Webserver installiert. IIS wird verwendet, um HTTP- oder HTTPS SCEP-Registrierungsanforderungen und -Antworten zwischen der CA und dem ISE-Richtlinienknoten zu terminieren.
Die NDES-Rolle kann auf einer aktuellen CA installiert oder auf einem Mitgliedsserver installiert werden. In einer Standalone-Bereitstellung wird der NDES-Dienst auf einer vorhandenen Zertifizierungsstelle installiert, die den Zertifizierungsstellen-Service und optional den Certification Authority Web Enrollment-Service umfasst. In einer verteilten Bereitstellung wird der NDES-Dienst auf einem Mitgliedsserver installiert. Der verteilte NDES-Server wird so konfiguriert, dass er mit einer Upstream-Root- oder Subroot-CA kommuniziert. In diesem Szenario werden die in diesem Dokument beschriebenen Änderungen an der Registrierung auf dem NDES-Server mit der benutzerdefinierten Vorlage vorgenommen, auf dem Zertifikate auf der Upstream-CA gespeichert sind.
Dieser Abschnitt bietet einen kurzen Überblick über die im Cisco Labor getesteten CA/NDES-Bereitstellungsszenarien. Verweisen Sie auf das Microsoft TechNet als endgültige Quelle der Wahrheit für Microsoft CA-, NDES- und SCEP-bezogene Serverkonfigurationen.
Wenn die ISE in einem Proof of Concept (PoC)-Szenario verwendet wird, ist es üblich, einen eigenständigen Windows 2008- oder 2012-Computer bereitzustellen, der als Active Directory (AD)-Domänen-Controller, Root CA und NDES-Server fungiert:
Wenn die ISE in eine aktuelle Microsoft AD/PKI-Produktionsumgebung integriert ist, wird es häufiger angezeigt, dass Services auf mehreren, unterschiedlichen Windows 2008- oder 2012-Servern verteilt werden. Cisco hat zwei Szenarien für verteilte Bereitstellungen getestet.
Dieses Image zeigt das erste getestete Szenario für verteilte Bereitstellungen:
Dieses Image zeigt das zweite getestete Szenario für verteilte Bereitstellungen:
Bevor Sie die SCEP-Unterstützung für BYOD konfigurieren, stellen Sie sicher, dass auf dem Windows 2008 R2 NDES-Server folgende Microsoft-Hotfixe installiert sind:
Warnung: Wenn Sie die Microsoft CA konfigurieren, ist es wichtig zu verstehen, dass die ISE den RSASSA-PSS-Signaturalgorithmus nicht unterstützt. Cisco empfiehlt, die CA-Richtlinie so zu konfigurieren, dass sie stattdessen sha1WithRSAEncryption oder sha256WithRSAEncryption verwendet.
Nachfolgend finden Sie eine Liste wichtiger BYOD-Ports und -Protokolle:
Hinweis: Eine aktuelle Liste der erforderlichen Ports und Protokolle finden Sie im ISE 1.2 Hardware Installation Guide.
In diesem Abschnitt können Sie die NDES- und SCEP-Unterstützung für BYOD auf der ISE konfigurieren.
Standardmäßig verwendet die Microsoft SCEP (MSCEP)-Implementierung ein dynamisches Kennwort für die Anrufweiterleitung, um Clients und Endpunkte während des gesamten Zertifikatregistrierungsprozesses zu authentifizieren. Wenn diese Konfigurationsanforderung erfüllt ist, müssen Sie auf dem NDES-Server zur MSCEP-Admin-Web-GUI navigieren, um ein Kennwort bei Bedarf zu generieren. Sie müssen dieses Kennwort als Teil der Registrierungsanfrage angeben.
Bei einer BYOD-Bereitstellung wird der Zweck einer Self-Service-Lösung durch das Erfordernis eines "Challenge Passworts" außer Kraft gesetzt. Um diese Anforderung zu entfernen, müssen Sie diesen Registrierungsschlüssel auf dem NDES-Server ändern:
In einigen Bereitstellungsszenarien ist es möglicherweise vorzuziehen, die SCEP-Kommunikation auf eine ausgewählte Liste bekannter ISE-Knoten zu beschränken. Dies kann mithilfe des Features IPv4 Address and Domain Restrictions (IPv4-Adresseneinschränkungen und Domäneneinschränkungen) in IIS erreicht werden:
ISE kann URLs generieren, die für den IIS-Webserver zu lang sind. Um dieses Problem zu vermeiden, kann die IIS-Standardkonfiguration so geändert werden, dass längere URLs zulässig sind. Geben Sie diesen Befehl über die CLI des NDES-Servers ein:
%systemroot%\system32\inetsrv\appcmd.exe set config /section:system.webServer/
security/requestFiltering /requestLimits.maxQueryString:"8192" /commit:apphost
Hinweis: Die Größe der Abfragezeichenfolge kann je nach ISE- und Endpunktkonfiguration variieren. Geben Sie diesen Befehl über die CLI des NDES-Servers mit Administratorberechtigungen ein.
Administratoren einer Microsoft CA können eine oder mehrere Vorlagen konfigurieren, die verwendet werden, um Anwendungsrichtlinien auf einen gemeinsamen Satz von Zertifikaten anzuwenden. Mithilfe dieser Richtlinien können Sie ermitteln, für welche Funktion das Zertifikat und die zugehörigen Schlüssel verwendet werden. Die Werte der Anwendungsrichtlinien sind im Feld Extended Key Usage (EKU) des Zertifikats enthalten. Der Authentifizierer analysiert die Werte im EKU-Feld, um sicherzustellen, dass das vom Kunden präsentierte Zertifikat für die beabsichtigte Funktion verwendet werden kann. Zu den gängigsten Anwendungsbereichen gehören Serverauthentifizierung, Client-Authentifizierung, IPSec VPN und E-Mail. Im Hinblick auf die ISE umfassen die am häufigsten verwendeten EKU-Werte die Server- und/oder Client-Authentifizierung.
Wenn Sie beispielsweise eine sichere Bank-Website aufrufen, wird der Webserver, der die Anforderung verarbeitet, mit einem Zertifikat konfiguriert, das über eine Anwendungsrichtlinie für die Serverauthentifizierung verfügt. Wenn der Server eine HTTPS-Anforderung empfängt, sendet er ein Serverauthentifizierungszertifikat zur Authentifizierung an den angeschlossenen Webbrowser. Der wichtige Punkt hierbei ist, dass es sich um einen unidirektionalen Austausch vom Server zum Client handelt. Im Zusammenhang mit der ISE wird ein Administrator-GUI-Zugriff häufig für ein Serverauthentifizierungszertifikat verwendet. Die ISE sendet das konfigurierte Zertifikat an den verbundenen Browser und erwartet nicht, dass das Zertifikat vom Client zurückgesendet wird.
Bei Services wie BYOD, die EAP-TLS verwenden, wird eine gegenseitige Authentifizierung bevorzugt. Um diesen bidirektionalen Zertifikataustausch zu aktivieren, muss die Vorlage, die zum Generieren des ISE-Identitätszertifikats verwendet wird, über eine Mindestanwendungsrichtlinie für die Serverauthentifizierung verfügen. Die Webserver-Zertifikatvorlage erfüllt diese Anforderung. Die Zertifikatsvorlage, die die Endpunktzertifikate generiert, muss eine Mindestanwendungsrichtlinie für die Clientauthentifizierung enthalten. Die Vorlage des Benutzerzertifikats erfüllt diese Anforderung. Wenn Sie die ISE für Services wie Inline Policy Enforcement Point (iPEP) konfigurieren, sollte die Vorlage zum Generieren des ISE-Serveridentitätszertifikats sowohl Client- als auch Server-Authentifizierungsattribute enthalten, wenn Sie ISE Version 1.1.x oder früher verwenden. Dadurch können sich die Admin- und Inline-Knoten gegenseitig authentifizieren. Die EKU-Validierung für iPEP wurde in ISE Version 1.2 entfernt, wodurch diese Anforderung weniger relevant wird.
Sie können die Microsoft CA-Standardwebserver- und Benutzervorlagen wiederverwenden oder mit dem in diesem Dokument beschriebenen Prozess eine neue Vorlage klonen und erstellen. Auf der Grundlage dieser Zertifikatsanforderungen sollten die CA-Konfiguration und die daraus resultierenden ISE- und Endgerätezertifikate sorgfältig geplant werden, um unerwünschte Konfigurationsänderungen bei der Installation in einer Produktionsumgebung zu minimieren.
Wie bereits in der Einführung erwähnt, wird SCEP häufig in IPSec VPN-Umgebungen verwendet. Durch die Installation der NDES-Rolle wird der Server automatisch für die Verwendung der IPSec-Vorlage (Offline Request) für SCEP konfiguriert. Aus diesem Grund besteht einer der ersten Schritte bei der Vorbereitung einer Microsoft CA für BYOD darin, eine neue Vorlage mit der richtigen Anwendungsrichtlinie zu erstellen. In einer Standalone-Bereitstellung werden die Zertifizierungsstelle und die NDES-Dienste auf demselben Server angeordnet, und die Vorlagen und erforderlichen Registrierungsänderungen sind auf demselben Server enthalten. In einer verteilten NDES-Bereitstellung werden die Registrierungsänderungen auf dem NDES-Server vorgenommen. Die eigentlichen Vorlagen werden jedoch auf dem in der NDES-Dienstinstallation angegebenen Root- oder Sub-Root-CA-Server definiert.
Gehen Sie wie folgt vor, um die Zertifikatvorlage zu konfigurieren:
Hinweis: Die Gültigkeitsdauer der Vorlage muss kleiner oder gleich der Gültigkeitsdauer der CA-Root- und Zwischenzertifikate sein.
Hinweis: Alternativ können Sie die Vorlage über die CLI mit dem Befehl certutil -SetCAtemplate +ISE-BYOD aktivieren.
Gehen Sie wie folgt vor, um die Registrierungsschlüssel für die Zertifikatsvorlage zu konfigurieren:
Bei einer BYOD-Bereitstellung kommuniziert das Endgerät nicht direkt mit dem Back-End-NDES-Server. Stattdessen wird der ISE-Richtlinienknoten als SCEP-Proxy konfiguriert und kommuniziert mit dem NDES-Server im Namen der Endpunkte. Die Endpunkte kommunizieren direkt mit der ISE. Die IIS-Instanz auf dem NDES-Server kann so konfiguriert werden, dass sie HTTP- und/oder HTTPS-Bindungen für die virtuellen SCEP-Verzeichnisse unterstützt.
Gehen Sie wie folgt vor, um die ISE als SCEP-Proxy zu konfigurieren:
Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.
In diesem Abschnitt finden Sie Fehlerbehebungen für Ihre Konfiguration.
Im Folgenden finden Sie eine Liste wichtiger Hinweise, die Sie zur Fehlerbehebung bei Ihrer Konfiguration verwenden können:
Hinweis: Einige Supplicants initialisieren keinen Austausch von Client-Zertifikaten, wenn die falsche EKU vorhanden ist, wie z.B. ein Client-Zertifikat mit EKU der Serverauthentifizierung. Authentifizierungsfehler sind daher möglicherweise nicht immer in den ISE-Protokollen vorhanden.
Im Folgenden finden Sie eine Liste nützlicher Techniken, mit denen Probleme bei der clientseitigen Protokollierung behoben werden können:
Hinweis: WinHTTP wird für die Verbindung zwischen dem Microsoft Windows-Endpunkt und der ISE verwendet. Eine Liste von Fehlercodes finden Sie im Artikel Microsoft Windows-Fehlermeldungen.
Gehen Sie wie folgt vor, um das ISE-Protokoll anzuzeigen:
Weitere Informationen finden Sie im AD CS: Fehlerbehebung für den Network Device Enrollment Service Windows Server-Artikel.