Konfigurieren der HTTPS-Unterstützung für die ISE SCEP-Integration

Download-Optionen

  • PDF     (1.3 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.4 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (764.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:31. Juli 2013
Dokument-ID:116238

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument werden die erforderlichen Schritte zum Konfigurieren der Hypertext Transfer Protocol Secure (HTTPS)-Unterstützung für die SCEP-Integration (Secure Certificate Enrollment Protocol) mit der Identity Services Engine (ISE) beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

  • Grundkenntnisse des Internet Information Services (IIS)-Webservers von Microsoft
  • Erfahrung bei der Konfiguration von SCEP und Zertifikaten auf der ISE

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • ISE Version 1.1.x
  • Windows Server 2008 R2 Enterprise mit Hotfixes für installierte KB2483564 und KB263200

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Die Informationen zu den Microsoft-Zertifikatdiensten werden als Leitfaden speziell für Cisco Bring Your Own Device (BYOD) bereitgestellt. Verweisen Sie Microsoft TechNet als die entscheidende Quelle für Microsoft-Zertifizierungsstellen, den Network Device Enrollment Service (NDES) und SCEP-bezogene Serverkonfigurationen.

 

Hintergrundinformationen

Bei einer BYOD-Bereitstellung ist eine der Kernkomponenten ein Microsoft 2008 R2 Enterprise-Server, auf dem die NDES-Rolle installiert ist.  Dieser Server ist Mitglied der Active Directory (AD)-Gesamtstruktur.  Bei der Erstinstallation von NDES wird der IIS-Webserver von Microsoft automatisch installiert und konfiguriert, um die HTTP-Terminierung von SCEP zu unterstützen. In einigen BYOD-Bereitstellungen möchten Kunden die Kommunikation zwischen ISE und NDES möglicherweise mithilfe von HTTPS weiter sichern. In diesem Verfahren werden die Schritte beschrieben, die zum Anfordern und Installieren eines SSL-Zertifikats (Secure Socket Layer) für die SCEP-Website erforderlich sind.

Konfigurieren

NDES-Serverzertifikatkonfiguration

Hinweis: Sie müssen ein neues Zertifikat für IIS konfigurieren (nur erforderlich, wenn IIS in eine Drittanbieter-PKI wie Verisign integriert ist oder wenn die Zertifizierungsstellen- (CA) und NDES-Serverrollen auf separaten Servern getrennt sind). Wenn sich die NDES-Rolle in der Installation auf einem aktuellen Microsoft-Zertifizierungsstellenserver befindet, verwendet IIS das Serveridentitätszertifikat, das während des CA-Setups erstellt wurde.  Bei eigenständigen Konfigurationen wie dieser können Sie direkt zum Abschnitt NDES Server IIS Binding Configuration in diesem Dokument springen.

  1. Stellen Sie über die Konsole oder RDP eine Verbindung zum NDES-Server her.
  2. Klicken Sie auf Start -> Verwaltung -> Internetinformationsdienste (IIS)-Manager.
  3. Markieren Sie den IIS-Servernamen, und klicken Sie auf das Symbol Serverzertifikate.

  4. Klicken Sie auf Zertifikatsanforderung erstellen, und füllen Sie die Felder aus.

  5. Öffnen Sie die im vorherigen Schritt erstellte CER-Datei mit einem Texteditor, und kopieren Sie den Inhalt in die Zwischenablage.

  6. Rufen Sie die Website Microsoft CA Web Enrollment (Microsoft CA-Webregistrierung) auf, und klicken Sie auf Request a Certificate (Zertifikat anfordern).

    Beispiel-URL: http://yourCAIP/certsrv


  7. Klicken Sie auf Zertifikatsanforderung mithilfe von senden... Fügen Sie den Zertifikatsinhalt aus der Zwischenablage ein, und wählen Sie die Webserver-Vorlage aus.

  8. Klicken Sie auf Senden, und speichern Sie die Zertifikatsdatei auf dem Desktop.
  9. Kehren Sie zum NDES-Server zurück, und öffnen Sie das IIS-Manager-Dienstprogramm. Klicken Sie auf den Servernamen und dann auf Zertifikatsanforderung abschließen, um das neu erstellte Serverzertifikat zu importieren.

IIS-Bindungskonfiguration für den NDES-Server

  1. Erweitern Sie den Servernamen, erweitern Sie Sites, und klicken Sie auf Standardwebsite.
  2. Klicken Sie in der oberen rechten Ecke auf Bindings (Bindungen).
  3. Klicken Sie auf Hinzufügen, ändern Sie die Type in HTTPS, und wählen Sie das Zertifikat aus der Dropdown-Liste aus.
  4. Klicken Sie auf OK.

 

ISE-Serverkonfiguration

  1. Stellen Sie eine Verbindung mit der Webregistrierungsschnittstelle des Zertifizierungsstellenservers her, und laden Sie die Zertifikatkette der Zertifizierungsstelle herunter.

  2. Navigieren Sie in der ISE-GUI zu Administration -> Certificates -> Certificate Store, und importieren Sie die Zertifikatskette der Zertifizierungsstelle in den ISE-Store.

  3. Navigieren Sie zu Administration -> Certificates -> SCEP CA Profiles, und konfigurieren Sie die URL für HTTPS. Klicken Sie auf Verbindung testen und dann auf Speichern.

Überprüfung

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

  • Navigieren Sie zu Administration -> Certificates -> Certificate Store, und stellen Sie sicher, dass die Zertifikatskette der Zertifizierungsstelle und das Zertifikat der NDES-Serverregistrierungsstelle vorhanden sind.
  • Verwenden Sie Wireshark oder TCP Dump, um den anfänglichen SSL-Austausch zwischen dem ISE-Admin-Knoten und dem NDES-Server zu überwachen.

Das Output Interpreter-Tool (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das Output Interpreter-Tool, um eine Analyse der show-Befehlsausgabe anzuzeigen.

Fehlerbehebung

In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

  • Unterteilen Sie die BYOD-Netzwerktopologie in logische Waypoints, um Debug- und Erfassungspunkte entlang des Pfades zwischen diesen Endpunkten - ISE, NDES und CA - zu identifizieren.
  • Stellen Sie sicher, dass TCP 443 zwischen der ISE und dem NDES-Server bidirektional zugelassen wird.
  • Überwachung der CA- und NDES-Server-Anwendungsprotokolle auf Registrierungsfehler und Verwendung von Google oder TechNet zur Untersuchung dieser Fehler
  • Verwenden Sie das TCP-Dump-Dienstprogramm auf der ISE PSN, und überwachen Sie den Datenverkehr zum und vom NDES-Server. Diesen finden Sie unter Operationen > Diagnosetools > Allgemeine Tools.
  • Installieren Sie Wireshark auf dem NDES-Server, oder verwenden Sie SPAN auf zwischengeschalteten Switches, um SCEP-Datenverkehr zu und von der ISE PSN zu erfassen.

Das Output Interpreter-Tool (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das Output Interpreter-Tool, um eine Analyse der show-Befehlsausgabe anzuzeigen.

Hinweis: Lesen Sie den Artikel Important Information on Debug Commands (Wichtige Informationen zu Debug-Befehlen), bevor Sie debug-Befehle verwenden.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
27-May-2013
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Todd Pula and Sylvain Levesque
    Cisco TAC Engineers.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.