為ISE SCEP整合配置HTTPS支援
簡介
本文檔介紹為安全證書註冊協定(SCEP)與身份服務引擎(ISE)的整合配置超文本傳輸協定安全(HTTPS)支援所需的步驟。
必要條件
需求
思科建議您瞭解以下主題:
- Microsoft Internet Information Services (IIS) Web伺服器的基本知識
- 在ISE上配置SCEP和證書的經驗
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- ISE版本1.1.x
- Windows Server 2008 R2 Enterprise,已安裝KB2483564和KB2633200的修補程式
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
與Microsoft證書服務相關的資訊是專門為思科自帶裝置(BYOD)提供的指南。請參考Microsoft的TechNet作為Microsoft憑證授權單位、網路裝置註冊服務(NDES)和SCEP相關伺服器組態的最終資料來源。
背景資訊
在BYOD部署中,核心元件之一是安裝了NDES角色的Microsoft 2008 R2企業伺服器。 此伺服器是Active Directory (AD)樹系的成員。 在NDES初始安裝期間,Microsoft的IIS Web伺服器會自動安裝並設定為支援SCEP的HTTP終止。在某些BYOD部署中,客戶可能想要使用HTTPS進一步保護ISE與NDES之間的通訊。此程式詳述為SCEP網站要求及安裝安全通訊端層(SSL)憑證所需的步驟。
設定
NDES伺服器證書配置
- 透過控制檯或RDP連線到NDES伺服器。
- 按一下開始->管理工具-> Internet資訊服務(IIS)管理器。
- 突出顯示IIS伺服器名稱,然後按一下伺服器證書圖示。
- 按一下Create Certificate Request,然後填寫欄位。
- 使用文本編輯器打開上一步中建立的.cer檔案,並將內容複製到剪貼簿。
- 訪問Microsoft CA Web Enrollment網站,然後按一下Request a Certificate。
範例URL:http://yourCAIP/certsrv
- 按一下Submit a certificate request by using..。從剪貼簿貼上證書內容,然後選擇Web Server模板。
- 按一下Submit,然後將證書檔案儲存到案頭。
- 返回NDES伺服器並打開IIS管理器實用程式。按一下伺服器名稱,然後按一下Complete Certificate Request以導入新建立的伺服器證書。
NDES伺服器IIS繫結配置
- 展開伺服器名稱,展開站點,按一下預設網站。
- 按一下右上角的Bindings。
- 按一下Add,將Typeto HTTPS更改,然後從下拉選單中選擇證書。
- 按一下「OK」(確定)。
ISE伺服器配置
- 連線到CA伺服器的Web註冊介面並下載CA證書鏈。
- 從ISE GUI中,導航到管理->證書->證書儲存,然後將CA證書鏈導入ISE儲存。
- 導航到管理->證書-> SCEP CA配置檔案並配置HTTPS的URL。按一下Test Connectivity,然後按一下Save。
驗證
使用本節內容,確認您的組態是否正常運作。
- 導航到管理->證書->證書庫,確認存在CA證書鏈和NDES伺服器註冊機構(RA)證書。
- 使用Wireshark或TCP轉儲來監控ISE管理節點和NDES伺服器之間的初始SSL交換。
輸出解釋程式工具(僅供註冊客戶使用)支援某些show命令。使用命令輸出解釋程式工具檢視show命令輸出的分析。
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
- 將BYOD網路拓撲拆分為邏輯路徑點,以幫助辨識這些終端之間的路徑上的調試和捕獲點- ISE、NDES和CA。
- 確保ISE和NDES伺服器之間雙向允許TCP 443。
- 監控CA和NDES伺服器應用程式日誌中的註冊錯誤,並使用Google或TechNet研究這些錯誤。
- 在ISE PSN上使用TCP轉儲實用程式,並監控進出於NDES伺服器的流量。此設定位於操作 > 診斷工具 > 常規工具下。
- 在NDES伺服器上安裝Wireshark或在中間交換機上使用SPAN,以捕獲進出ISE PSN的SCEP流量。
輸出解釋程式工具(僅供註冊客戶使用)支援某些show命令。使用命令輸出解釋程式工具檢視show命令輸出的分析。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
27-May-2013 |
初始版本 |
意見