Configurar suporte HTTPS para integração SCEP ISE

Opções de download

  • PDF     (1.3 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.4 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (761.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:31 de julho de 2013
ID do documento:116238

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve as etapas necessárias para configurar o suporte ao protocolo HTTPS para a integração do protocolo SCEP com o Identity Services Engine (ISE).

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conhecimento básico do servidor Web IIS (Serviços de Informações da Internet) da Microsoft
  • Experiência na configuração de SCEP e certificados no ISE

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • ISE versão 1.1.x
  • Windows Server 2008 R2 Enterprise com hotfixes para KB2483564 e KB263200 instalados

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

As informações relacionadas aos serviços certificados da Microsoft são fornecidas como um guia especificamente para o Cisco BYOD (Bring Your Own Device). Consulte o TechNet da Microsoft como a fonte definitiva da verdade para a autoridade de certificação da Microsoft, o NDES (Network Device Enrollment Service) e as configurações de servidor relacionadas ao SCEP.

 

Informações de Apoio

Em uma implantação de BYOD, um dos componentes principais é um servidor Microsoft 2008 R2 Enterprise que tem a função NDES instalada.  Este servidor é um membro da floresta do Ative Diretory (AD).  Durante a instalação inicial do NDES, o servidor Web do IIS da Microsoft é automaticamente instalado e configurado para oferecer suporte ao término HTTP do SCEP. Em algumas implantações de BYOD, os clientes podem querer proteger ainda mais as comunicações entre o ISE e o NDES usando HTTPS. Este procedimento detalha as etapas necessárias para solicitar e instalar um certificado SSL para o site do SCEP.

Configurar

Configuração de Certificado do Servidor NDES

Observação: você deve configurar um novo certificado para o IIS (necessário somente quando o IIS estiver integrado a uma PKI de terceiros, como Verisign, ou quando as funções de servidor Autoridade de Certificação (CA) e NDES estiverem separadas em servidores separados). Na instalação, se a função NDES estiver em um servidor Microsoft CA atual, o IIS usará o certificado de identidade do servidor criado durante a instalação da CA.  Para configurações autônomas como esta, vá diretamente para a seção Configuração de Associação do IIS do Servidor NDES neste documento.

  1. Conecte-se ao servidor NDES via console ou RDP.
  2. Clique em Iniciar -> Ferramentas Administrativas -> Gerenciador dos Serviços de Informações da Internet (IIS).
  3. Realce o nome do servidor IIS e clique no ícone Certificados do Servidor.

  4. Clique em Create Certificate Request e preencha os campos.

  5. Abra o arquivo .cer criado na etapa anterior com um editor de texto e copie o conteúdo para a área de transferência.

  6. Acesse o site do Microsoft CA Web Enrollment e clique em Solicitar um Certificado.

    Exemplo de URL: http://yourCAIP/certsrv


  7. Clique em Enviar uma solicitação de certificado usando.... Cole o conteúdo do certificado da área de transferência e escolha o modelo do Servidor Web.

  8. Clique em Submit e salve o arquivo do certificado na área de trabalho.
  9. Retorne ao servidor NDES e abra o utilitário Gerenciador do IIS. Clique no nome do servidor e em Complete Certificate Request para importar o certificado de servidor recém-criado.

Configuração de Associação do IIS do Servidor NDES

  1. Expanda o nome do servidor, expanda Sites, clique em Site da Web padrão.
  2. Clique em Bindings no canto superior direito.
  3. Clique em Add, altere Typepara HTTPS e escolha o certificado na lista suspensa.
  4. Click OK.

 

Configuração do servidor ISE

  1. Conecte-se à interface de Registro na Web do servidor de autoridade de certificação e baixe a cadeia de certificados da autoridade de certificação.

  2. Na GUI do ISE, navegue para Administração -> Certificados -> Repositório de certificados e importe a cadeia de certificados da CA para o repositório do ISE.

  3. Navegue até Administration -> Certificates -> SCEP CA Profiles e configure o URL para HTTPS. Clique em Testar conectividade e em Salvar.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

  • Navegue para Administração -> Certificados -> Repositório de Certificados e verifique se a cadeia de certificados da autoridade de certificação e o certificado da autoridade de registro (RA) do servidor NDES estão presentes.
  • Use o Wireshark ou o Despejo TCP para monitorar o intercâmbio SSL inicial entre o nó do administrador do ISE e o servidor NDES.

A ferramenta Output Interpreter (exclusiva para clientes registrados) é compatível com alguns comandos de exibição.. Use a ferramenta Output Interpreter para visualizar uma análise do resultado gerado pelo comando show..

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

  • Divida a topologia de rede BYOD em pontos de referência lógicos para ajudar a identificar pontos de depuração e captura ao longo do caminho entre esses pontos de extremidade - ISE, NDES e CA.
  • Verifique se o TCP 443 é permitido bidirecionalmente entre o ISE e o servidor NDES.
  • Monitore os registros do aplicativo de servidor CA e NDES quanto a erros de registro e use o Google ou o TechNet para pesquisar esses erros.
  • Use o utilitário TCP Dump no ISE PSN e monitore o tráfego de e para o servidor NDES. Ele está localizado em Operations > Diagnostic Tools > General Tools.
  • Instale o Wireshark no servidor NDES ou use o SPAN em switches intermediários para capturar o tráfego SCEP de e para o ISE PSN.

A ferramenta Output Interpreter (exclusiva para clientes registrados) é compatível com alguns comandos de exibição.. Use a ferramenta Output Interpreter para visualizar uma análise do resultado gerado pelo comando show..

Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
27-May-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Todd Pula and Sylvain Levesque
    Cisco TAC Engineers.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos