In questo documento viene descritta la configurazione di un server Microsoft Certificate Authority (CA) che esegue Internet Information Services (IIS) per la pubblicazione degli aggiornamenti CRL (Certificate Revocation List). Viene inoltre illustrato come configurare Cisco Identity Services Engine (ISE) (versione 1.1 e successive) per recuperare gli aggiornamenti da utilizzare nella convalida del certificato. È possibile configurare ISE in modo da recuperare i CRL per i vari certificati radice CA utilizzati nella convalida dei certificati.
Nessun requisito specifico previsto per questo documento.
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Cisco Identity Services Engine release 1.1.2.145
Microsoft Windows® Server® 2008 R2
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.
In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.
Nota: per ulteriori informazioni sui comandi menzionati in questa sezione, usare lo strumento di ricerca dei comandi (solo utenti registrati).
In questo documento vengono usate le seguenti configurazioni:
Sezione 1. Creare e configurare una cartella nella CA per contenere i file CRL
Sezione 2. Creare un sito in IIS per esporre il nuovo punto di distribuzione CRL
Sezione 3. Configurare Microsoft CA Server per la pubblicazione dei file CRL nel punto di distribuzione
Sezione 4. Verificare che il file CRL esista e sia accessibile tramite IIS
Sezione 5. Configurare ISE per l'utilizzo del nuovo punto di distribuzione CRL
La prima operazione consiste nel configurare un percorso nel server CA in cui archiviare i file CRL. Per impostazione predefinita, il server CA Microsoft pubblica i file in C:\Windows\system32\CertSrv\CertEnroll\. Anziché utilizzare questa cartella di sistema, creare una nuova cartella per i file.
Sul server IIS, scegliere un percorso nel file system e creare una nuova cartella. In questo esempio viene creata la cartella C:\CRLDistribution.
Affinché la CA possa scrivere i file CRL nella nuova cartella, è necessario che la condivisione sia attivata. Fare clic con il pulsante destro del mouse sulla nuova cartella, scegliere Proprietà, fare clic sulla scheda Condivisione e quindi su Condivisione avanzata.
Per condividere la cartella, selezionare la casella di controllo Condividi la cartella e quindi aggiungere un simbolo di dollaro ($) alla fine del nome della condivisione nel campo Nome condivisione per nascondere la condivisione.
Fare clic su Autorizzazioni (1), su Aggiungi (2), su Tipi di oggetto (3) e selezionare la casella di controllo Computer (4).
Per tornare alla finestra Seleziona utenti, computer, account di servizio o gruppi, fare clic su OK. Nel campo Immettere i nomi degli oggetti da selezionare, immettere il nome del computer del server CA e fare clic su Controlla nomi. Se il nome immesso è valido, viene aggiornato e visualizzato sottolineato. Fare clic su OK.
Nel campo Utenti e gruppi scegliere il computer CA. Selezionare Consenti controllo completo per concedere l'accesso completo alla CA. Fare clic su OK. Fare di nuovo clic su OK per chiudere la finestra Condivisione avanzata e tornare alla finestra Proprietà.
Per consentire alla CA di scrivere i file CRL nella nuova cartella, configurare le autorizzazioni di protezione appropriate. Fare clic sulla scheda Protezione (1), su Modifica (2), su Aggiungi (3), su Tipi di oggetto (4) e selezionare la casella di controllo Computer (5).
Nel campo Immettere i nomi degli oggetti da selezionare, immettere il nome del computer del server CA e fare clic su Controlla nomi. Se il nome immesso è valido, viene aggiornato e visualizzato sottolineato. Fare clic su OK.
Scegliere il computer CA nel campo Utenti e gruppi e quindi selezionare Consenti controllo completo per concedere l'accesso completo alla CA. Fare clic su OK e quindi su Chiudi per completare l'operazione.
Per consentire ad ISE di accedere ai file CRL, rendere accessibile tramite IIS la directory che contiene i file CRL.
Sulla barra delle applicazioni del server IIS fare clic su Start. Scegliere Strumenti di amministrazione > Gestione Internet Information Services (IIS).
Nel riquadro di sinistra, noto come struttura della console, espandere il nome del server IIS e quindi Siti.
Fare clic con il pulsante destro del mouse su Sito Web predefinito e scegliere Aggiungi directory virtuale.
Nel campo Alias immettere il nome di un sito per il punto di distribuzione CRL. Nell'esempio, viene immesso CRLD.
Fare clic sui puntini di sospensione (. . .) a destra del campo Percorso fisico e individuare la cartella creata nella sezione 1. Selezionare la cartella e fare clic su OK. Fare clic su OK per chiudere la finestra Aggiungi directory virtuale.
Il nome del sito immesso al passaggio 4 deve essere evidenziato nel riquadro di sinistra. In caso contrario, sceglietela ora. Nel riquadro centrale fare doppio clic su Esplorazione directory.
Nel riquadro destro fare clic su Attiva per attivare la ricerca nelle directory.
Nel riquadro sinistro scegliere nuovamente il nome del sito. Nel riquadro centrale fare doppio clic su Editor di configurazione.
Nell'elenco a discesa Sezione, scegliere system.webServer/security/requestFiltering. Nell'elenco a discesa allowDoubleEscaping scegliere True. Nel riquadro destro fare clic su Applica.
La cartella dovrebbe ora essere accessibile tramite IIS.
Ora che è stata configurata una nuova cartella in cui inserire i file CRL e che la cartella è stata esposta in IIS, configurare il server CA Microsoft per pubblicare i file CRL nel nuovo percorso.
Sulla barra delle applicazioni del server CA fare clic su Start. Scegliere Strumenti di amministrazione > Autorità di certificazione.
Nel riquadro sinistro fare clic con il pulsante destro del mouse sul nome della CA. Scegliere Proprietà, quindi fare clic sulla scheda Estensioni. Per aggiungere un nuovo punto di distribuzione CRL, fare clic su Aggiungi.
Nel campo Posizione, immettere il percorso della cartella creata e condivisa nella sezione 1. Nell'esempio della sezione 1, il percorso è:
\\RTPAAA-DC1\CRLDistribution$\
Con il campo Posizione popolato, scegliere <CaName> dall'elenco a discesa Variabile e fare clic su Inserisci.
Dall'elenco a discesa Variabile (Variable), selezionate <CRLNameSuffix>, quindi fate clic su Inserisci (Insert).
Nel campo Posizione aggiungere .crl alla fine del percorso. In questo esempio, il valore di Location è:
\\RTPAAA-DC1\CRLDistribution$\<CaName><CRLNameSuffix>.crl
Fare clic su OK per tornare alla scheda Estensioni. Selezionare la casella di controllo Pubblica CRL in questa posizione (1) e quindi fare clic su OK (2) per chiudere la finestra Proprietà. Verrà visualizzata una richiesta di autorizzazione per riavviare Servizi certificati Active Directory. Fare clic su Sì (3).
Nel riquadro sinistro fare clic con il pulsante destro del mouse su Certificati revocati. Scegliere Tutte le attività > Pubblica. Verificare che sia selezionato Nuovo CRL, quindi fare clic su OK.
Il server CA Microsoft deve creare un nuovo file crl nella cartella creata nella sezione 1. Se il nuovo file CRL viene creato correttamente, non verrà visualizzata alcuna finestra di dialogo dopo aver scelto OK. Se viene restituito un errore relativo alla nuova cartella del punto di distribuzione, ripetere con attenzione ogni passaggio in questa sezione.
Prima di iniziare questa sezione, verificare che i nuovi file CRL esistano e che siano accessibili tramite IIS da un'altra workstation.
Sul server IIS, aprire la cartella creata nella sezione 1. Deve essere presente un singolo file con estensione crl con il formato <CANAME>.crl dove <CANAME> è il nome del server CA. In questo esempio, il nome del file è:
rtpaaa-CA.crl
Da una workstation in rete (preferibilmente nella stessa rete del nodo Amministrazione principale ISE), aprire un browser Web e selezionare http://<SERVER>/<CRLSITE> dove <SERVER> è il nome del server IIS configurato nella sezione 2 e <CRLSITE> è il nome del sito scelto per il punto di distribuzione nella sezione 2. Nell'esempio, l'URL è:
http://RTPAAA-DC1/CRLD
Viene visualizzato l'indice della directory, che include il file osservato nel passaggio 1.
Prima di configurare ISE per il recupero del CRL, definire l'intervallo di pubblicazione del CRL. La strategia per determinare questo intervallo esula dall'ambito del presente documento. I valori potenziali (in Microsoft CA) sono compresi tra 1 ora e 411 anni. Il valore predefinito è 1 settimana. Una volta determinato l'intervallo appropriato per l'ambiente, impostare l'intervallo con le seguenti istruzioni:
Sulla barra delle applicazioni del server CA fare clic su Start. Scegliere Strumenti di amministrazione > Autorità di certificazione.
Nel riquadro sinistro espandere la CA. Fare clic con il pulsante destro del mouse sulla cartella Certificati revocati e scegliere Proprietà.
Nei campi Intervallo pubblicazione CRL immettere il numero richiesto e scegliere il periodo di tempo. Fare clic su OK per chiudere la finestra e applicare la modifica. Nell'esempio seguente viene configurato un intervallo di pubblicazione di 7 giorni.
A questo punto è necessario confermare diversi valori del Registro di sistema, che consentono di determinare le impostazioni di recupero del CRL in ISE.
Immettere il comando certutil -getreg CA\Clock* per confermare il valore di ClockSkew. Il valore predefinito è 10 minuti.
Output di esempio:
Values: ClockSkewMinutes REG_DWORS = a (10) CertUtil: -getreg command completed successfully.
Immettere il comando certutil -getreg CA\CRLov* per verificare se CRLOverlapPeriod è stato impostato manualmente. Per impostazione predefinita, il valore di CRLOverlapUnit è 0, che indica che non è stato impostato alcun valore manuale. Se il valore è diverso da 0, registrare il valore e le unità.
Output di esempio:
Values: CRLOverlapPeriod REG_SZ = Hours CRLOverlapUnits REG_DWORD = 0 CertUtil: -getreg command completed successfully.
Immettere il comando certutil -getreg CA\CRLpe* per verificare il periodo CRLP impostato nel passaggio 3.
Output di esempio:
Values: CRLPeriod REG_SZ = Days CRLUnits REG_DWORD = 7 CertUtil: -getreg command completed successfully.
Calcolare il periodo di tolleranza CRL nel modo seguente:
Se CRLOverlapPeriod è stato impostato nel passaggio 5: OVERLAP = CRLOverlapPeriod, in minuti;
Altrimenti: OVERLAP = (CRLPeriod / 10), in minuti
Se SOVRAPPOSIZIONE > 720, SOVRAPPOSIZIONE = 720
Se OVERLAP < (1.5 * ClockSkewMinutes), OVERLAP = (1.5 * ClockSkewMinutes)
Se OVERLAP > CRLPeriod, in minuti si avrà OVERLAP = CRLPeriod in minuti
Periodo di tolleranza = 720 minuti + 10 minuti = 730 minuti
Esempio:
As stated above, CRLPeriod was set to 7 days, or 10248 minutes and CRLOverlapPeriod was not set. a. OVERLAP = (10248 / 10) = 1024.8 minutes b. 1024.8 minutes is > 720 minutes : OVERLAP = 720 minutes c. 720 minutes is NOT < 15 minutes : OVERLAP = 720 minutes d. 720 minutes is NOT > 10248 minutes : OVERLAP = 720 minutes e. Grace Period = 720 minutes + 10 minutes = 730 minutes
Il periodo di prova calcolato è il periodo di tempo che intercorre tra la pubblicazione da parte della CA del CRL successivo e la scadenza del CRL corrente. ISE deve essere configurato in modo da recuperare i CRL di conseguenza.
Accedere al nodo Amministratore principale e scegliere Amministrazione > Sistema > Certificati. Nel riquadro sinistro selezionare Archivio certificati.
Selezionare la casella di controllo Archivio certificati accanto al certificato CA per il quale si desidera configurare i CRL. Fare clic su Edit (Modifica).
Nella parte inferiore della finestra selezionare la casella di controllo Download CRL.
Nel campo URL di distribuzione CRL immettere il percorso del punto di distribuzione CRL, che include il file con estensione crl creato nella sezione 2. Nell'esempio, l'URL è:
http://RTPAAA-DC1/CRLD/rtpaaa-ca.crl
L'ISE può essere configurato in modo da recuperare il CRL a intervalli regolari o in base alla scadenza (che in generale è anche un intervallo regolare). Se l'intervallo di pubblicazione del CRL è statico, gli aggiornamenti del CRL più tempestivi vengono ottenuti quando si utilizza l'ultima opzione. Fare clic sul pulsante di opzione Automaticamente.
Impostare il valore per il recupero su un valore inferiore al periodo di tolleranza calcolato nel passaggio 7. Se il valore impostato è più lungo del periodo di prova, ISE controlla il punto di distribuzione del CRL prima che la CA pubblichi il CRL successivo. In questo esempio, il periodo di tolleranza viene calcolato in 730 minuti, ovvero 12 ore e 10 minuti. Per il recupero verrà utilizzato un valore di 10 ore.
Impostare l'intervallo tra i tentativi in base all'ambiente. Se ISE non è in grado di recuperare il CRL in base all'intervallo configurato nel passaggio precedente, verrà eseguito un nuovo tentativo a questo intervallo più breve.
Selezionare la casella di controllo Ignora verifica CRL se CRL non è ricevuto per consentire la corretta esecuzione dell'autenticazione basata sui certificati (e senza il controllo CRL) se ISE non è stata in grado di recuperare il CRL per questa CA nell'ultimo tentativo di download. Se questa casella di controllo non è selezionata, tutte le autenticazioni basate su certificati emesse da questa CA avranno esito negativo se non è possibile recuperare il CRL.
Selezionare la casella di controllo Ignora CRL non ancora valido o scaduto per consentire ad ISE di utilizzare file CRL scaduti (o non ancora validi) come se fossero validi. Se questa casella di controllo non è selezionata, ISE considera un CRL non valido prima della data effettiva e dopo l'ora del successivo aggiornamento. Fare clic su Save (Salva) per completare la configurazione.
Attualmente non è disponibile una procedura di verifica per questa configurazione.
Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
21-Dec-2012 |
Versione iniziale |