Exemplo de Configuração de Publicação de Listas de Certificados Revogados para ISE em um Servidor de Autoridade de Certificação Microsoft

Introdução

Este documento descreve a configuração de um servidor de Autoridade de Certificação (CA) da Microsoft que executa o Internet Information Services (IIS) para publicar atualizações da Lista de Revogação de Certificados (CRL). Ele também explica como configurar o Cisco Identity Services Engine ( ISE) (versões 1.1 e posteriores) para recuperar as atualizações para uso na validação do certificado. O ISE pode ser configurado para recuperar CRLs para os vários certificados raiz de CA que ele usa na validação do certificado.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco Identity Services Engine versão 1.1.2.145

• Microsoft Windows^® Server^® 2008 R2

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Configurações

Este documento utiliza as seguintes configurações:

• Seção 1. Criar e Configurar uma Pasta no CA para Armazenar os Arquivos CRL

• Seção 2. Criar um Site no IIS para Expor o Novo Ponto de Distribuição de CRL

• Seção 3. Configurar o Microsoft CA Server para Publicar Arquivos CRL no Ponto de Distribuição

• Seção 4. Verifique se o arquivo CRL existe e está acessível via IIS

• Seção 5. Configurar o ISE para usar o Novo Ponto de Distribuição de CRL

Seção 1. Criar e Configurar uma Pasta no CA para Armazenar os Arquivos CRL

A primeira tarefa é configurar um local no servidor de CA para armazenar os arquivos de CRL. Por padrão, o servidor de CA da Microsoft publica os arquivos em C:\Windows\system32\CertSrv\CertEnroll\ . Em vez de usar essa pasta do sistema, crie uma nova pasta para os arquivos.

1. No servidor IIS, escolha um local no sistema de arquivos e crie uma nova pasta. Neste exemplo, a pasta C:\CRLDistribution é criada.

   

2. Para que a autoridade de certificação grave os arquivos de CRL na nova pasta, o compartilhamento deve estar habilitado. Clique com o botão direito do mouse na nova pasta, escolha Propriedades, clique na guia Compartilhamento e clique em Compartilhamento Avançado.

   

3. Para compartilhar a pasta, marque a caixa de seleção Compartilhar esta pasta e adicione um cifrão ($) ao final do nome do compartilhamento no campo Nome do compartilhamento para ocultar o compartilhamento.

   

4. Clique em Permissões (1), clique em Adicionar (2), clique em Tipos de objeto (3) e marque a caixa de seleção Computadores (4).

   

5. Para retornar à janela Selecionar usuários, computadores, contas de serviço ou grupos, clique em OK. No campo Enter the object names to select (Digite os nomes de objetos a serem selecionados), digite o nome do computador do servidor CA e clique em Check Names. Se o nome inserido for válido, ele será atualizado e aparecerá sublinhado. Click OK.

   

6. No campo Nomes de grupo ou de usuário, escolha o computador da autoridade de certificação. Marque Allow para Controle Total para conceder acesso total à CA. Click OK. Clique em OK novamente para fechar a janela Compartilhamento Avançado e retornar à janela Propriedades.

   

7. Para permitir que a CA grave os arquivos CRL na nova pasta, configure as permissões de segurança apropriadas. Clique na guia Segurança (1), clique em Editar (2), clique em Adicionar (3), clique em Tipos de objeto (4) e marque a caixa de seleção Computadores (5).

   

8. No campo Enter the object names to select (Digite os nomes de objetos a serem selecionados), digite o nome do computador do servidor CA e clique em Check Names. Se o nome inserido for válido, ele será atualizado e aparecerá sublinhado. Click OK.

   

9. Escolha o computador da autoridade de certificação no campo Group or user names e marque Allow for Full control para conceder acesso total à autoridade de certificação. Clique em OK e em Fechar para concluir a tarefa.

   

Seção 2. Criar um Site no IIS para Expor o Novo Ponto de Distribuição de CRL

Para que o ISE acesse os arquivos CRL, torne o diretório que hospeda os arquivos CRL acessível via IIS.

1. Na barra de tarefas do servidor IIS, clique em Iniciar. Escolha Ferramentas Administrativas > Gerenciador dos Serviços de Informações da Internet (IIS).

2. No painel esquerdo (conhecido como Árvore do Console), expanda o nome do servidor IIS e expanda Sites.

   

3. Clique com o botão direito do mouse em Default Web Site e escolha Add Virtual Diretory.

   

4. No campo Alias, insira um nome de site para o Ponto de Distribuição da CRL. Neste exemplo, o CRLD é inserido.

   

5. Clique nas reticências (. . .) à direita do campo Caminho físico e navegue até a pasta criada na seção 1. Selecione a pasta e clique em OK. Clique em OK para fechar a janela Adicionar Diretório Virtual.

   

6. O nome do site inserido na etapa 4 deve ser realçado no painel esquerdo. Caso contrário, escolha-o agora. No painel central, clique duas vezes em Diretory Browsing.

   

7. No painel direito, clique em Enable para habilitar a navegação no diretório.

   

8. No painel esquerdo, escolha novamente o nome do site. No painel central, clique duas vezes em Editor de configuração.

   

9. Na lista suspensa Seção, escolha system.webServer/security/requestFiltering. Na lista suspensa allowDoubleEscaping, escolha True. No painel direito, clique em Aplicar.

   

A pasta agora deve estar acessível via IIS.

Seção 3. Configurar o Microsoft CA Server para Publicar Arquivos CRL no Ponto de Distribuição

Agora que uma nova pasta foi configurada para hospedar os arquivos de CRL e a pasta foi exposta no IIS, configure o servidor da Microsoft CA para publicar os arquivos de CRL no novo local.

1. Na barra de tarefas do servidor de autoridade de certificação, clique em Iniciar. Selecione Administrative Tools > Certificate Authority.

2. No painel esquerdo, clique com o botão direito do mouse no nome da CA. Escolha Properties e clique na guia Extensions. Para adicionar um novo ponto de distribuição de CRL, clique em Adicionar.

   

3. No campo Local, insira o caminho para a pasta criada e compartilhada na seção 1. No exemplo na seção 1, o caminho é:

   \\RTPAAA-DC1\CRLDistribution$\

   

4. Com o campo Local preenchido, escolha <CaName> na lista suspensa Variável e clique em Inserir.

   

5. Na lista suspensa Variável, escolha <CRLNameSuffix> e clique em Inserir.

   

6. No campo Location (Local), anexe .crl ao final do caminho. Neste exemplo, o Local é:

   \\RTPAAA-DC1\CRLDistribution$\<CaName><CRLNameSuffix>.crl
   		

   

7. Clique em OK para retornar à guia Extensões. Marque a caixa de seleção Publicar CRLs neste local (1) e clique em OK (2) para fechar a janela Propriedades. Será exibido um prompt de permissão para reiniciar os Serviços de Certificados do Ative Diretory. Clique em Sim (3).

   

8. No painel esquerdo, clique com o botão direito em Certificados revogados. Escolha Todas as Tarefas > Publicar. Verifique se a opção Nova CRL está selecionada e clique em OK.

   

O servidor de autoridade de certificação da Microsoft deve criar um novo arquivo .crl na pasta criada na seção 1. Se o novo arquivo CRL for criado com sucesso, não haverá diálogo após clicar em OK. Se um erro for retornado em relação à nova pasta de ponto de distribuição, repita cuidadosamente cada etapa nesta seção.

Seção 4. Verifique se o arquivo CRL existe e está acessível via IIS

Verifique se os novos arquivos CRL existem e se estão acessíveis via IIS de outra estação de trabalho antes de iniciar esta seção.

1. No servidor IIS, abra a pasta criada na seção 1. Deve haver um único arquivo .crl presente com a forma <CANAME>.crl, onde <CANAME> é o nome do servidor de autoridade de certificação. Neste exemplo, o nome do arquivo é:

   rtpaaa-CA.crl

   

2. Em uma estação de trabalho na rede (idealmente na mesma rede do nó Admin primário do ISE), abra um navegador da Web e navegue até http://<SERVIDOR>/<CRLSITE>, onde <SERVIDOR> é o nome do servidor do IIS configurado na seção 2 e <CRLSITE> é o nome do site escolhido para o ponto de distribuição na seção 2. Neste exemplo, o URL é:

   http://RTPAAA-DC1/CRLD

   O índice de diretório é exibido, incluindo o arquivo observado na etapa 1.

   

Seção 5. Configurar o ISE para usar o Novo Ponto de Distribuição de CRL

Antes que o ISE seja configurado para recuperar a CRL, defina o intervalo para publicar a CRL. A estratégia para determinar esse intervalo está além do escopo deste documento. Os valores potenciais (no Microsoft CA) são de 1 hora a 411 anos, inclusive. O valor padrão é 1 semana. Uma vez determinado um intervalo apropriado para seu ambiente, defina o intervalo com estas instruções:

1. Na barra de tarefas do servidor de autoridade de certificação, clique em Iniciar. Selecione Administrative Tools > Certificate Authority.

2. No painel esquerdo, expanda a autoridade de certificação. Clique com o botão direito do mouse na pasta Certificados revogados e escolha Propriedades.

3. Nos campos de intervalo de publicação da CRL, insira o número necessário e escolha o período. Clique em OK para fechar a janela e aplicar a alteração. Neste exemplo, um intervalo de publicação de 7 dias é configurado.

   

   Agora você deve confirmar vários valores de registro, o que ajudará a determinar as configurações de recuperação de CRL no ISE.

4. Insira o comando certutil -getreg CA\Clock* para confirmar o valor de ClockSkew. O valor padrão é 10 minutos.

   Saída de exemplo:

   Values:
       ClockSkewMinutes        REG_DWORS = a (10)
   CertUtil: -getreg command completed successfully.
   

5. Insira o comando certutil -getreg CA\CRLov* para verificar se o CRLOverlapPeriod foi definido manualmente. Por padrão, o valor de CRLOverlapUnit é 0, o que indica que nenhum valor manual foi definido. Se o valor for um valor diferente de 0, registre o valor e as unidades.

   Saída de exemplo:

   Values:
       CRLOverlapPeriod      REG_SZ = Hours
       CRLOverlapUnits        REG_DWORD = 0
   CertUtil: -getreg command completed successfully.
   

6. Insira o comando certutil -getreg CA\CRLpe* para verificar o CRLPeriod, que foi definido na etapa 3.

   Saída de exemplo:

   Values:
       CRLPeriod      REG_SZ = Days
       CRLUnits        REG_DWORD = 7
   CertUtil: -getreg command completed successfully.
   

7. Calcule o Período de Cortesia da CRL da seguinte maneira:

   1. Se CRLOverlapPeriod foi definido na etapa 5: OVERLAP = CRLOverlapPeriod, em minutos;

      Senão: SOBREPOSIÇÃO = (período CRLP / 10), em minutos

   2. SE SOBREPOR > 720, SOBREPOR = 720

   3. Se OVERLAP < (1,5 * ClockSkewMinutes) então OVERLAP = (1,5 * ClockSkewMinutes)

   4. Se OVERLAP > CRLPeriod, em minutos então OVERLAP = CRLPeriod em minutos

   5. Período de carência = 720 minutos + 10 minutos = 730 minutos

      Exemplo:

      As stated above, CRLPeriod was set to 7 days, or 10248 minutes and 
      CRLOverlapPeriod was not set.
      
      a. OVERLAP = (10248 / 10) = 1024.8 minutes
      b. 1024.8 minutes is > 720 minutes : OVERLAP = 720 minutes
      c. 720 minutes is NOT < 15 minutes : OVERLAP = 720 minutes
      d. 720 minutes is NOT > 10248 minutes : OVERLAP = 720 minutes
      e. Grace Period = 720 minutes + 10 minutes = 730 minutes
      

   O período de carência calculado é o período de tempo entre o momento em que a CA publica a próxima CRL e o momento em que a CRL atual expira. O ISE precisa ser configurado para recuperar as CRLs de acordo.

8. Efetue login no nó Admin primário e escolha Administration > System > Certificates. No painel esquerdo, selecione Certificate Store.

   

9. Marque a caixa de seleção Repositório de Certificados ao lado do certificado CA para o qual você pretende configurar CRLs. Clique em Editar.

10. Perto da parte inferior da janela, marque a caixa de seleção Download CRL.

11. No campo URL de Distribuição de CRL, digite o caminho para o Ponto de Distribuição de CRL, que inclui o arquivo .crl, criado na seção 2. Neste exemplo, o URL é:

    http://RTPAAA-DC1/CRLD/rtpaaa-ca.crl

12. O ISE pode ser configurado para recuperar a CRL em intervalos regulares ou com base na expiração (que, em geral, também é um intervalo regular). Quando o intervalo de publicação da CRL é estático, atualizações mais oportunas da CRL são obtidas quando a última opção é usada. Clique no botão de opção Automatically.

13. Defina o valor para recuperação como um valor menor que o período de tolerância calculado na etapa 7. Se o valor definido for maior que o período de cortesia, o ISE verificará o ponto de distribuição da CRL antes que a CA publique a próxima CRL. Neste exemplo, o período de cortesia é calculado como 730 minutos ou 12 horas e 10 minutos. Um valor de 10 horas será usado para a recuperação.

14. Defina o intervalo de repetição conforme apropriado para seu ambiente. Se o ISE não puder recuperar a CRL no intervalo configurado na etapa anterior, ele tentará novamente nesse intervalo mais curto.

15. Marque a caixa de seleção Ignorar verificação de CRL se a CRL não for recebida para permitir que a autenticação baseada em certificado continue normalmente (e sem uma verificação de CRL) se o ISE não puder recuperar a CRL para esta CA em sua última tentativa de download. Se esta caixa de seleção não for marcada, toda a autenticação baseada em certificado com certificados emitidos por esta CA falhará se a CRL não puder ser recuperada.

16. Marque a caixa de seleção Ignorar se a CRL ainda não é válida ou expirou para permitir que o ISE use arquivos de CRL expirados (ou ainda não válidos) como se fossem válidos. Se essa caixa de seleção não estiver marcada, o ISE considerará uma CRL como inválida antes de sua Data de efetivação e após seus horários da Próxima atualização. Clique em Save para concluir a configuração.

    

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas

• Suporte Técnico e Documentação - Cisco Systems