Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit la configuration d'un serveur d'autorité de certification Microsoft qui exécute les services Internet (IIS) pour publier les mises à jour de la liste de révocation de certificats (CRL). Il explique également comment configurer Cisco Identity Services Engine (ISE) (versions 3.0 et ultérieures) pour récupérer les mises à jour à utiliser dans la validation des certificats. ISE peut être configuré pour récupérer les listes de révocation de certificats pour les divers certificats racines CA qu'il utilise dans la validation de certificat.
Aucune exigence spécifique n'est associée à ce document.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
La première tâche consiste à configurer un emplacement sur le serveur AC pour stocker les fichiers CRL. Par défaut, le serveur AC Microsoft publie les fichiers sur C:\Windows\system32\CertSrv\CertEnroll\
Plutôt que d'utiliser ce dossier système, créez un nouveau dossier pour les fichiers.
C:\CRLDistribution
est créé.
Properties
, cliquez sur l'Sharing
onglet, puis cliquez sur Advanced Sharing
.
Share this folder
puis ajoutez un symbole dollar ($) à la fin du nom du partage dans le champ Nom du partage pour masquer le partage.
Permissions
(1), cliquez sur Add
(2), cliquez sur Object Types
(3), puis cochez la case Computers
(4).
OK
. Dans le champ Entrez les noms d'objets à sélectionner, entrez le nom d'ordinateur du serveur AC dans cet exemple : WIN0231PNBS4IPH et cliquez sur Check Names
. Si le nom saisi est valide, il est actualisé et est souligné. Cliquez sur OK
.
Allow
Contrôle total pour accorder un accès complet à l'autorité de certification. Cliquez sur OK
. Cliquez OK
à nouveau pour fermer la fenêtre Partage avancé et revenir à la fenêtre Propriétés.
Security
l'onglet (1), cliquez sur Edit
(2), cliquez sur Add
(3), cliquez sur Object Types
(4), puis cochez la case (5)Computers
.
Check Names
. Si le nom saisi est valide, il est actualisé et est souligné. Cliquez sur OK
.
Allow
pour accorder un accès complet à l'AC. Cliquez sur OK
, puis sur Close
pour terminer la tâche.
Afin qu'ISE puisse accéder aux fichiers CRL, rendez le répertoire qui héberge les fichiers CRL accessible via IIS.
Start
. Sélectionnez Administrative Tools > Internet Information Services (IIS) Manager
. Sites
.
Default Web Site
et choisissez Add Virtual Directory
, comme illustré dans cette image.
OK
. Cliquez OK
pour fermer la fenêtre Ajouter un répertoire virtuel.
Directory Browsing
.
Enable
afin d'activer la navigation dans le répertoire.
Configuration Editor
.
system.webServer/security/requestFiltering
. Dans la allowDoubleEscaping
liste déroulante, sélectionnez True
. Dans le volet droit, cliquez sur Apply
, comme illustré dans cette image.
Le dossier doit maintenant être accessible via IIS.
Maintenant qu'un nouveau dossier a été configuré pour héberger les fichiers CRL et que le dossier a été exposé dans IIS, configurez le serveur AC Microsoft pour publier les fichiers CRL au nouvel emplacement.
Start
. Sélectionnez Administrative Tools > Certificate Authority
. Properties
, puis cliquez sur l'Extensions
onglet. Afin d'ajouter un nouveau point de distribution CRL, cliquez sur Add
.
\\WIN-231PNBS4IPH\CRLDistribution$
dans la liste déroulante Variable, puis cliquez sur Insert.
puis cliquez sur Insert
.
.crl
à la fin du chemin. Dans cet exemple, l'emplacement est : \\WIN-231PNBS4IPH\CRLDistribution$\
OK
pour revenir à l'onglet Extensions. Cochez cette Publish CRLs to this location
case, puis cliquez sur OK
pour fermer la fenêtre Propriétés. Une invite s'affiche pour demander l'autorisation de redémarrer les services de certificats Active Directory. Cliquez sur Yes
.
Revoked Certificates
. Sélectionnez All Tasks > Publish
. Assurez-vous que l'option Nouvelle liste de révocation de certificats est sélectionnée, puis cliquez sur OK
.
Le serveur d'autorité de certification Microsoft doit créer un nouveau fichier .crl dans le dossier créé à la section 1. Si le nouveau fichier CRL est créé avec succès, aucune boîte de dialogue ne s'affiche une fois que vous avez cliqué sur OK. Si une erreur est renvoyée concernant le nouveau dossier de point de distribution, répétez soigneusement chaque étape de cette section.
Avant de commencer cette section, vérifiez que les nouveaux fichiers CRL existent et qu'ils sont accessibles via IIS à partir d'une autre station de travail.
.crl
où
est le nom du serveur AC. Dans cet exemple, le nom du fichier est : abtomar-WIN-231PNBS4IPH-CA.crl
http://
/
où
est le nom du serveur IIS configuré dans la section 2 et
est le nom du site choisi pour le point de distribution dans la section 2. Dans cet exemple, l'URL est : L'index de répertoire s'affiche, qui inclut le fichier observé à l'étape 1.
Avant de configurer ISE pour récupérer la liste de révocation de certificats, définissez l'intervalle de publication de la liste. La stratégie de détermination de cet intervalle dépasse le cadre de ce document. Les valeurs potentielles (dans Microsoft CA) sont comprises entre 1 heure et 411 ans inclus. La valeur par défaut est 1 semaine. Une fois qu'un intervalle approprié pour votre environnement a été déterminé, définissez l'intervalle avec les instructions suivantes :
Start
. Sélectionnez Administrative Tools > Certificate Authority
. Revoked Certificates
dossier et sélectionnez Properties
. OK
pour fermer la fenêtre et appliquer la modification. Dans cet exemple, un intervalle de publication de sept jours est configuré.
certutil -getreg CA\Clock*
commande permettant de confirmer la valeur ClockSkew. La valeur par défaut est 10 minutes. Exemple de rapport :
Values: ClockSkewMinutes REG_DWORS = a (10) CertUtil: -getreg command completed successfully.
certutil -getreg CA\CRLov*
commande permettant de vérifier si CRLOverlapPeriod a été défini manuellement. Par défaut, la valeur CRLOverlapUnit est 0, ce qui indique qu'aucune valeur manuelle n'a été définie. Si la valeur est différente de 0, notez la valeur et les unités. Exemple de rapport :
Values: CRLOverlapPeriod REG_SZ = Hours CRLOverlapUnits REG_DWORD = 0 CertUtil: -getreg command completed successfully.
certutil -getreg CA\CRLpe*
commande permettant de vérifier la période CRLP définie à l'étape 3. Exemple de rapport :
Values: CRLPeriod REG_SZ = Days CRLUnits REG_DWORD = 7 CertUtil: -getreg command completed successfully.
a. Si CRLOverlapPeriod a été défini à l'étape 5 : OVERLAP = CRLOverlapPeriod, en minutes ;
Sinon : OVERLAP = (CRLPériod / 10), en minutes
b. Si CHEVAUCHEMENT > 720, CHEVAUCHEMENT = 720
c. Si OVERLAP < (1,5 * ClockSkewMinutes), alors OVERLAP = (1,5 * ClockSkewMinutes)
d. Si OVERLAP > CRLPeriod, en minutes, OVERLAP = CRLPeriod en minutes
e. Délai de grâce = CHEVAUCHEMENT + minutesDésalignementHorloge
Example: As stated above, CRLPeriod was set to 7 days, or 10248 minutes and CRLOverlapPeriod was not set.
a. OVERLAP = (10248 / 10) = 1024.8 minutes b. 1024.8 minutes is > 720 minutes : OVERLAP = 720 minutes c. 720 minutes is NOT < 15 minutes : OVERLAP = 720 minutes d. 720 minutes is NOT > 10248 minutes : OVERLAP = 720 minutes e. Grace Period = 720 minutes + 10 minutes = 730 minutes
Le délai de grâce calculé est le laps de temps entre le moment où l'autorité de certification publie la liste de révocation de certificats suivante et le moment où la liste de révocation de certificats actuelle expire. ISE doit être configuré pour récupérer les LCR en conséquence.
Administration > System > Certificates
. Dans le volet gauche, sélectionnez Trusted Certificate
.
Edit
. Download CRL
case. Automatically
. Bypass CRL Verification if CRL is not Received
case pour permettre à l'authentification basée sur certificat de continuer normalement (et sans vérification de la liste de révocation de certificats) si ISE n'a pas pu récupérer la liste de révocation de certificats pour cette autorité de certification lors de sa dernière tentative de téléchargement. Si cette case n'est pas cochée, toute authentification basée sur les certificats avec des certificats émis par cette autorité de certification échouera si la liste de révocation de certificats ne peut pas être récupérée. Ignore that CRL is not yet valid or expired
case pour permettre à ISE d'utiliser les fichiers de liste de révocation de certificats expirés (ou non encore valides) comme s'ils étaient valides. Si cette case n'est pas cochée, ISE considère qu'une liste de révocation de certificats n'est pas valide avant sa date d'effet et après ses heures de mise à jour suivante. Cliquez Save
sur pour terminer la configuration.
Aucune procédure de vérification n'est disponible pour cette configuration.
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
16-Feb-2024 |
Première publication |