Configuration de la prise en charge HTTPS pour l'intégration ISE SCEP

Options de téléchargement

  • PDF     (1.3 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.4 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (763.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:31 juillet 2013
ID du document:116238

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit les étapes requises pour configurer la prise en charge du protocole HTTPS (Hypertext Transfer Protocol Secure) pour l'intégration du protocole SCEP (Secure Certificate Enrollment Protocol) avec Identity Services Engine (ISE).

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Connaissances de base du serveur Web IIS (Internet Information Services) de Microsoft
  • Expérience de la configuration du protocole SCEP et des certificats sur ISE

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • ISE version 1.1.x
  • Windows Server 2008 R2 Entreprise avec correctifs pour KB2483564 et KB2633200 installés

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Les informations relatives aux services de certificats Microsoft sont fournies à titre de guide spécifique pour le BYOD (Bring Your Own Device) de Cisco. Reportez-vous à TechNet de Microsoft comme source de vérité définitive pour les configurations de serveur relatives à l'autorité de certification Microsoft, au service NDES (Network Device Enrollment Service) et au protocole SCEP.

 

Informations générales

Dans un déploiement BYOD, l'un des composants principaux est un serveur Microsoft 2008 R2 Enterprise sur lequel le rôle NDES est installé.  Ce serveur est membre de la forêt Active Directory (AD).  Lors de l'installation initiale de NDES, le serveur Web IIS de Microsoft est automatiquement installé et configuré pour prendre en charge la terminaison HTTP de SCEP. Dans certains déploiements BYOD, les clients peuvent souhaiter sécuriser davantage les communications entre ISE et NDES à l'aide de HTTPS. Cette procédure détaille les étapes requises pour demander et installer un certificat SSL (Secure Socket Layer) pour le site Web SCEP.

Configurer

Configuration du certificat du serveur NDES

Remarque : vous devez configurer un nouveau certificat pour IIS (uniquement requis lorsque IIS est intégré à une PKI tierce partie telle que Verisign ou lorsque les rôles d'autorité de certification (CA) et de serveur NDES sont séparés sur des serveurs distincts). Dans l'installation, si le rôle NDES se trouve sur un serveur AC Microsoft actuel, IIS utilise le certificat d'identité de serveur créé lors de la configuration de l'AC.  Pour les configurations autonomes telles que celle-ci, passez directement à la section Configuration de liaison IIS du serveur NDES dans ce document.

  1. Connectez-vous au serveur NDES via la console ou RDP.
  2. Cliquez sur Démarrer -> Outils d'administration -> Gestionnaire des services Internet (IIS).
  3. Mettez en surbrillance le nom du serveur IIS et cliquez sur l'icône Certificats de serveur.

  4. Cliquez sur Créer une demande de certificat, et renseignez les champs.

  5. Ouvrez le fichier .cer créé à l'étape précédente avec un éditeur de texte et copiez le contenu dans le Presse-papiers.

  6. Accédez au site Web Microsoft CA Web Enrollment et cliquez sur Request a Certificate (Demander un certificat).

    Exemple d'URL : http://yourCAIP/certsrv


  7. Cliquez sur Envoyer une demande de certificat à l'aide de... Collez le contenu du certificat à partir du Presse-papiers et choisissez le modèle Serveur Web.

  8. Cliquez sur Submit, puis enregistrez le fichier de certificat sur le bureau.
  9. Retournez au serveur NDES et ouvrez l'utilitaire Gestionnaire des services Internet (IIS). Cliquez sur le nom du serveur, puis cliquez sur Complete Certificate Request afin d'importer le certificat de serveur nouvellement créé.

Configuration de la liaison IIS du serveur NDES

  1. Développez le nom du serveur, Sites, puis cliquez sur Site Web par défaut.
  2. Cliquez sur Liaisons dans l'angle supérieur droit.
  3. Cliquez sur Add, changez le Type en HTTPS, et choisissez le certificat dans la liste déroulante.
  4. Click OK.

 

Configuration du serveur ISE

  1. Connectez-vous à l'interface Web Enrollment du serveur AC et téléchargez la chaîne de certificats AC.

  2. Dans l'interface utilisateur graphique d'ISE, accédez à Administration -> Certificates -> Certificate Store et importez la chaîne de certificats CA dans le magasin ISE.

  3. Accédez à Administration -> Certificates -> SCEP CA Profiles et configurez l'URL pour HTTPS. Cliquez sur Test Connectivity, puis sur Save.

Vérifier

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

  • Accédez à Administration -> Certificates -> Certificate Store et vérifiez que la chaîne de certificats CA et le certificat NDES server Registration Authority (RA) sont présents.
  • Utilisez Wireshark ou TCP Dump pour surveiller l'échange SSL initial entre le noeud d'administration ISE et le serveur NDES.

L'Outil d'interprétation de sortie (clients enregistrés seulement) prend en charge certaines commandes d'affichage. Utilisez l'Outil d'interprétation de sortie afin de visualiser une analyse de commande d'affichage de sortie .

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

  • Décomposez la topologie du réseau BYOD en points de cheminement logiques afin d'identifier les points de débogage et de capture le long du chemin entre ces points d'extrémité : ISE, NDES et CA.
  • Assurez-vous que le protocole TCP 443 est autorisé bidirectionnellement entre l'ISE et le serveur NDES.
  • Surveillez les journaux d'application du serveur CA et NDES pour détecter les erreurs d'enregistrement et utilisez Google ou TechNet pour rechercher ces erreurs.
  • Utilisez l'utilitaire TCP Dump sur le PSN ISE et surveillez le trafic en provenance et à destination du serveur NDES. Il se trouve dans Operations > Diagnostic Tools > General Tools.
  • Installez Wireshark sur le serveur NDES ou utilisez la fonctionnalité SPAN sur les commutateurs intermédiaires afin de capturer le trafic SCEP en provenance et à destination du PSN ISE.

L'Outil d'interprétation de sortie (clients enregistrés seulement) prend en charge certaines commandes d'affichage. Utilisez l'Outil d'interprétation de sortie afin de visualiser une analyse de commande d'affichage de sortie .

Remarque : Consulter les renseignements importants sur les commandes de débogage avant d’utiliser les commandes de débogage.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
27-May-2013
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Todd Pula and Sylvain Levesque
    Cisco TAC Engineers.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits