Configuratievoorbeeld van Microsoft CA-server voor ISE-certificaten publiceren

Downloadopties

  • PDF     (1.2 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.2 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 februari 2013
Document-id:115758

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft de configuratie van een Microsoft Certificate Authority (CA)-server die Internet Information Services (IIS) uitvoert om CRL-updates (Certificate Revocation List) te publiceren. Het legt ook uit hoe u Cisco Identity Services Engine (ISE) (versies 1.1 en hoger) moet configureren om de updates op te halen voor gebruik in certificaatvalidatie. ISE kan worden geconfigureerd om CRL’s op te halen voor de verschillende CA-basiscertificaten die worden gebruikt bij de validatie van certificaten.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco Identity Services Engine release 1.1.2.145

  • Microsoft Windows® Server® 2008 R2

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

Configuraties

Dit document gebruikt de volgende configuraties:

  • Sectie 1. Een map op de CA maken en configureren om de CRL-bestanden te huisvesten

  • Sectie 2. Maak een site in IIS om het nieuwe CRL distributiepunt bloot te stellen

  • Sectie 3. Microsoft CA Server configureren om CRL-bestanden naar het distributiepunt te publiceren

  • Sectie 4. Controleer of het CRL-bestand bestaat en toegankelijk is via IIS

  • Sectie 5. Configureer ISE om het nieuwe CRL-distributiepunt te gebruiken

Sectie 1. Een map op de CA maken en configureren om de CRL-bestanden te huisvesten

De eerste taak is om een locatie op de CA-server te configureren voor het opslaan van de CRL-bestanden. Standaard publiceert de Microsoft CA-server de bestanden op C:\Windows\system32\CertSrv\CertEnroll\ . Maak een nieuwe map voor de bestanden in plaats van deze systeemmap te gebruiken.

  1. Kies op de IIS-server een locatie op het bestandssysteem en maak een nieuwe map. In dit voorbeeld wordt de map C:\CRLDistribution gemaakt.

    cert-rev-lists-01.gif

  2. Als de CA de CRL-bestanden naar de nieuwe map wil schrijven, moet delen zijn ingeschakeld. Klik met de rechtermuisknop op de nieuwe map, kies Eigenschappen, klik op het tabblad Delen en klik vervolgens op Geavanceerd delen.

    cert-rev-lists-02.gif

  3. Als u de map wilt delen, schakelt u het selectievakje Deze map delen in en voegt u vervolgens een dollarteken ($) toe aan het einde van de naam van het aandeel in het veld Naam delen om het aandeel te verbergen.

    cert-rev-lists-03.gif

  4. Klik op Rechten (1), klik op Toevoegen (2), klik op Objecttypen (3) en controleer het aankruisvakje Computers (4).

    cert-rev-lists-04.gif

  5. Klik op OK om terug te keren naar het venster Gebruikers, computers, servicerekeningen of groepen. Typ in het veld Voer de objectnamen in om de computernaam van de CA-server in te voeren en klik op Namen controleren. Als de ingevoerde naam geldig is, wordt de naam vernieuwd en onderstreept weergegeven. Klik op OK.

    cert-rev-lists-05.gif

  6. Kies in het veld Groep- of gebruikersnamen de CA-computer. Schakel Toestaan voor volledige controle in om volledige toegang tot de CA te verlenen. Klik op OK. Klik nogmaals op OK om het venster Geavanceerd delen te sluiten en terug te keren naar het venster Eigenschappen.

    cert-rev-lists-06.gif

  7. Om CA in staat te stellen de CRL-bestanden naar de nieuwe map te schrijven, moet u de juiste beveiligingstoestemmingen configureren. Klik op het tabblad Beveiliging (1), klik op Bewerken (2), klik op Toevoegen (3), klik op Objecttypes (4) en controleer het vakje Computers (5).

    cert-rev-lists-07.gif

  8. Typ in het veld Voer de objectnamen in om de computernaam van de CA-server in te voeren en klik op Namen controleren. Als de ingevoerde naam geldig is, wordt de naam vernieuwd en onderstreept weergegeven. Klik op OK.

    cert-rev-lists-05.gif

  9. Kies de CA-computer in het veld Groep- of gebruikersnamen en controleer vervolgens Toestaan voor volledige controle om volledige toegang tot de CA te verlenen. Klik op OK en klik vervolgens op Sluiten om de taak te voltooien.

    cert-rev-lists-08.gif

Sectie 2. Maak een site in IIS om het nieuwe CRL distributiepunt bloot te stellen

Om ISE toegang te geven tot de CRL-bestanden, maakt u de map waarin de CRL-bestanden zich bevinden toegankelijk via IIS.

  1. Klik in de taakbalk van de IIS-server op Start. Kies Administratieve Gereedschappen > Internet Information Services (IIS) Manager.

  2. Vouw in het linker deelvenster (bekend als de consolestructuur) de naam van de IIS-server uit en vouw vervolgens Sites uit.

    cert-rev-lists-09.gif

  3. Klik met de rechtermuisknop op Standaardwebsite en kies Virtuele map toevoegen.

    cert-rev-lists-10.gif

  4. Voer in het veld Alias een sitenaam in voor het CRL-distributiepunt. In dit voorbeeld is CRLD ingevoerd.

    cert-rev-lists-11.gif

  5. Klik op de ellips (. . .) rechts van het veld Fysiek pad en blader naar de map die in sectie 1 is gemaakt. Selecteer de map en klik op OK. Klik op OK om het venster Virtuele map toevoegen te sluiten.

    cert-rev-lists-12.gif

  6. De in stap 4 ingevoerde sitenaam moet in het linker deelvenster worden gemarkeerd. Als dit niet het geval is, kies dan nu. Dubbelklik in het middendeelvenster op Bladeren door directory's.

    cert-rev-lists-13.gif

  7. Klik in het rechterdeelvenster op Inschakelen om bladeren door mappen mogelijk te maken.

    cert-rev-lists-14.gif

  8. Kies in het linkerdeelvenster opnieuw de naam van de site. Dubbelklik in het middendeelvenster op Configuration Editor.

    cert-rev-lists-15.gif

  9. Kies system.webServer/security/requestFiltering in de vervolgkeuzelijst Sectie. Kies Waar in de vervolgkeuzelijst allowDoubleEscaping. Klik in het rechter deelvenster op Toepassen.

    cert-rev-lists-16.gif

De map moet nu toegankelijk zijn via IIS.

Sectie 3. Microsoft CA Server configureren om CRL-bestanden naar het distributiepunt te publiceren

Nu een nieuwe map is geconfigureerd om de CRL-bestanden te huisvesten en de map is blootgesteld in IIS, configureer Microsoft CA-server om de CRL-bestanden te publiceren naar de nieuwe locatie.

  1. Klik in de taakbalk van CA-server op Start. Kies Administratieve Gereedschappen > Certificaatinstantie.

  2. Klik in het linkerdeelvenster met de rechtermuisknop op de CA-naam. Kies Eigenschappen en klik vervolgens op het tabblad Uitbreidingen. Klik op Toevoegen om een nieuw CRL-distributiepunt toe te voegen.

    cert-rev-lists-17.gif

  3. Voer in het veld Locatie het pad in naar de map die in sectie 1 is gemaakt en gedeeld. In het voorbeeld in sectie 1 is het pad:

    \\RTPAAA-DC1\CRLDistribution$\

    cert-rev-lists-18.gif

  4. Als het veld Locatie is ingevuld, kiest u <Naam>in de vervolgkeuzelijst Variabele en klikt u vervolgens op Invoegen.

    cert-rev-lists-19.gif

  5. Kies in de vervolgkeuzelijst Variabele <CRLNameSuffix> en klik vervolgens op Invoegen.

    cert-rev-lists-20.gif

  6. Voeg in het veld Locatie .crl toe aan het einde van het pad. In dit voorbeeld is de locatie:

    \\RTPAAA-DC1\CRLDistribution$\<CaName><CRLNameSuffix>.crl

    cert-rev-lists-21.gif

  7. Klik op OK om terug te keren naar het tabblad Uitbreidingen. Controleer het vakje Publish CRLs to this location (1) en klik vervolgens op OK (2) om het venster Properties te sluiten. Er wordt een prompt weergegeven voor toestemming om Active Directory Certificate Services opnieuw te starten. Klik op Ja (3).

    cert-rev-lists-22.gif

  8. Klik in het linkerdeelvenster met de rechtermuisknop op Ingetrokken certificaten. Kies Alle taken > Publiceren. Zorg ervoor dat New CRL is geselecteerd en klik vervolgens op OK.

    cert-rev-lists-23.gif

De Microsoft CA-server moet een nieuw .crl-bestand maken in de map die in sectie 1 is gemaakt. Als het nieuwe CRL-bestand met succes is gemaakt, verschijnt er geen dialoogvenster nadat op OK is geklikt. Als een fout wordt teruggegeven met betrekking tot de nieuwe map voor distributiepunten, herhaalt u elke stap in deze sectie zorgvuldig.

Sectie 4. Controleer of het CRL-bestand bestaat en toegankelijk is via IIS

Controleer of de nieuwe CRL-bestanden bestaan en dat ze via IIS toegankelijk zijn vanaf een ander werkstation voordat u deze sectie start.

  1. Open op de IIS-server de map die in sectie 1 is gemaakt. Er moet één .crl-bestand aanwezig zijn met het formulier <CANAME>.crl, waarin <CANAME> de naam is van de CA-server. In dit voorbeeld is de bestandsnaam:

    rtpaaa-CA.crl

    cert-rev-lists-24.gif

  2. Open vanuit een werkstation in het netwerk (idealiter op hetzelfde netwerk als de primaire ISE-beheerknooppunt) een webbrowser en blader naar http://<SERVER>/<CRLSITE>, waar <SERVER> de servernaam is van de IIS-server die in sectie 2 is geconfigureerd en <CRLSITE> de sitenaam is die voor het distributiepunt in sectie 2 is gekozen. In dit voorbeeld is de URL:

    http://RTPAAA-DC1/CRLD

    De indexbeeldjes, waaronder het in stap 1 geobserveerde bestand.

    cert-rev-lists-25.gif

Sectie 5. Configureer ISE om het nieuwe CRL-distributiepunt te gebruiken

Alvorens ISE wordt gevormd om CRL terug te winnen, het interval bepalen om CRL te publiceren. De strategie om deze interval te bepalen valt buiten het bereik van dit document. De potentiële waarden (in Microsoft CA) zijn 1 uur tot 411 jaar, inclusief. De standaardwaarde is 1 week. Zodra een geschikt interval voor uw milieu is bepaald, stel het interval met deze instructies in:

  1. Klik in de taakbalk van CA-server op Start. Kies Administratieve Gereedschappen > Certificaatinstantie.

  2. Vouw in het linker deelvenster de CA uit. Klik met de rechtermuisknop op de map Ingetrokken certificaten en kies Eigenschappen.

  3. Voer in de velden voor het CRL-publicatieinterval het gewenste nummer in en kies de tijdsperiode. Klik op OK om het venster te sluiten en de wijziging toe te passen. In dit voorbeeld is een publicatieinterval van 7 dagen ingesteld.

    cert-rev-lists-26.gif

    U moet nu verschillende registerwaarden bevestigen, die zullen helpen bij het bepalen van de instellingen voor CRL-ophalen in ISE.

  4. Voer de opdracht certutil -getreg CA\Clock* in om de waarde ClockSkew te bevestigen. De standaardwaarde is 10 minuten.

    Voorbeelduitvoer:

    Values:
    ClockSkewMinutes        REG_DWORS = a (10)
CertUtil: -getreg command completed successfully.

  5. Voer de opdracht certutil -getreg CA\CRLov* in om te controleren of de CRLOoverlap-periode handmatig is ingesteld. Standaard is de waarde voor CRLOoverlapUnit 0, wat aangeeft dat er geen handmatige waarde is ingesteld. Als de waarde een andere waarde is dan 0, registreert u de waarde en de eenheden.

    Voorbeelduitvoer:

    Values:
    CRLOverlapPeriod      REG_SZ = Hours
    CRLOverlapUnits        REG_DWORD = 0
CertUtil: -getreg command completed successfully.

  6. Voer de opdracht certutil -getreg CA\CRLpe* in om de CRLP-periode te controleren die in stap 3 is ingesteld.

    Voorbeelduitvoer:

    Values:
    CRLPeriod      REG_SZ = Days
    CRLUnits        REG_DWORD = 7
CertUtil: -getreg command completed successfully.

  7. Bereken de CRL-respijtperiode als volgt:

    1. Als CRLOverlapPeriod werd ingesteld in stap 5: OVERLAP = CRLOverlapPeriod, in minuten;

      Anders: OVERLAP = (CRLPeriod / 10), in minuten

    2. Bij overlap > 720, overlap = 720

    3. Als OVERLAP < (1,5 * ClockSkewMinutes), dan OVERLAP = (1,5 * ClockSkewMinutes)

    4. Indien OVERLAP > CRLPeriod, in minuten dan OVERLAP = CRLPeriod in minuten

    5. respijtperiode = 720 minuten + 10 minuten = 730 minuten

      Voorbeeld:

      As stated above, CRLPeriod was set to 7 days, or 10248 minutes and 
CRLOverlapPeriod was not set.

a. OVERLAP = (10248 / 10) = 1024.8 minutes
b. 1024.8 minutes is > 720 minutes : OVERLAP = 720 minutes
c. 720 minutes is NOT < 15 minutes : OVERLAP = 720 minutes
d. 720 minutes is NOT > 10248 minutes : OVERLAP = 720 minutes
e. Grace Period = 720 minutes + 10 minutes = 730 minutes

    De berekende respijtperiode is de hoeveelheid tijd tussen het tijdstip waarop de CA het volgende CRL publiceert en het moment waarop het huidige CRL afloopt. ISE moet worden geconfigureerd om de CRL’s op te halen.

  8. Log in op de primaire Admin-knooppunt en kies Beheer > Systeem > Certificaten. Selecteer in het linkerdeelvenster de optie Certificaatopslag.

    cert-rev-lists-27.gif

  9. Schakel het aanvinkvakje Certificate Store in naast het CA-certificaat waarvoor u CRL’s wilt configureren. Klik op Edit (Bewerken).

  10. In de buurt van de onderkant van het venster, controleer het aanvinkvakje Download CRL.

  11. Voer in het veld CRL Distribution URL het pad naar het CRL Distribution Point in, dat het .crl-bestand bevat dat in sectie 2 is gemaakt. In dit voorbeeld is de URL:

    http://RTPAAA-DC1/CRLD/rtpaaa-ca.crl

  12. ISE kan worden geconfigureerd om het CRL op regelmatige intervallen terug te halen of op basis van de verloopdatum (die in het algemeen ook een regelmatig interval is). Wanneer het CRL publicatieinterval statisch is, worden de tijdigere updates van CRL verkregen wanneer de laatstgenoemde optie wordt gebruikt. Klik op de knop Automatisch.

  13. Stel de waarde voor ophalen in op een waarde kleiner dan de respijtperiode die in stap 7 is berekend. Als de waardenreeks langer is dan de respijtperiode, controleert ISE het CRL-distributiepunt voordat CA het volgende CRL heeft gepubliceerd. In dit voorbeeld wordt de respijtperiode berekend op 730 minuten, of 12 uur en 10 minuten. Voor het ophalen wordt een waarde van 10 uur gebruikt.

  14. Stel het herhalingsinterval in zoals geschikt voor uw omgeving. Als ISE in de vorige stap het CRL niet met het ingestelde interval kan ophalen, zal het met dit kortere interval opnieuw proberen.

  15. Schakel het aanvinkvakje CRL-verificatie omzeilen als CRL niet is ontvangen in om op certificaat gebaseerde verificatie normaal te laten doorgaan (en zonder CRL-controle) als ISE het CRL voor deze CA niet kon ophalen bij haar laatste downloadpoging. Als dit aanvinkvakje niet is ingeschakeld, zal alle op certificaten gebaseerde verificatie met door deze certificeringsinstantie afgegeven certificaten mislukken als het CRL niet kan worden opgehaald.

  16. Controleer of CRL nog niet geldig is of verlopen aanvinkvakje is om ISE toe te staan verlopen (of nog niet geldig) CRL-bestanden te gebruiken alsof ze geldig waren. Als dit aanvinkvakje niet is ingeschakeld, beschouwt ISE een CRL als ongeldig vóór de datum van inwerkingtreding en na de volgende update. Klik op Opslaan om de configuratie te voltooien.

    cert-rev-lists-28.gif

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
21-Dec-2012
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Justin Teixeira
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten