Renove o certificado SCEP RA no Windows Server AD 2012 usado para BYOD no ISE

Introdução

Este documento descreve como renovar dois certificados que são usados para o protocolo SCEP: o Agente de Registro do Exchange e o certificado de Criptografia CEP no Microsoft Ative Diretory 2012.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Conhecimento básico da configuração do Microsoft Ative Diretory
• Conhecimento básico da infraestrutura de chave pública (PKI)
• Conhecimento básico do Identity Services Engine (ISE)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco Identity Services Engine versão 2.0 
• Microsoft Ative Diretory 2012 R2

Problema

O Cisco ISE usa o protocolo SCEP para oferecer suporte ao registro de dispositivos pessoais (integração de BYOD). Ao usar uma CA SCEP externa, essa CA é definida por um perfil de RA SCEP no ISE. Quando um Perfil SCEP RA é criado, dois certificados são automaticamente adicionados ao Repositório de Certificados Confiáveis:

• Certificado raiz de CA,
• Certificado RA (Autoridade de Registro) que é assinado pela CA.

O RA é responsável por receber e validar a solicitação do dispositivo de registro e encaminhá-la à CA que emite o certificado do cliente.

Quando o certificado RA expira, ele não é renovado automaticamente no lado da CA (Windows Server 2012 neste exemplo). Isso deve ser feito manualmente pelo administrador do Ative Diretory/CA.

Aqui está o exemplo de como conseguir isso no Windows Server 2012 R2.

Certificados SCEP iniciais visíveis no ISE:

Presume-se que o CERTIFICADO MSCEP-RA tenha expirado e tenha que ser renovado.

Solução

Cuidado: qualquer alteração no Windows Server deve ser consultada primeiro com seu administrador.

1. Identificar chaves privadas antigas

Localize chaves privadas associadas aos certificados RA no Ative Diretory usando a ferramenta certutil. Depois disso, localize o Contêiner de chave.

certutil -store MY %COMPUTERNAME%-MSCEP-RA

Observe que, se o nome do certificado MSCEP-RA inicial for diferente, ele deverá ser ajustado nesta solicitação. No entanto, por padrão, ele deve conter o nome do computador.

2. Excluir chaves privadas antigas

Exclua as chaves de referência manualmente da pasta abaixo:

C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys

3. Excluir certificados MSCEP-RA antigos

Após excluir as chaves privadas, remova os certificados MSCEP-RA do console MMC.

MMC > Arquivo > Adicionar/Remover Snap-in... > Adicionar "Certificados" > Conta do computador > Computador local

4. Gerar novos certificados para SCEP

4.1. Gerar o Certificado de Registro do Exchange

4.1.1. Crie um arquivo cisco_ndes_sign.inf com o conteúdo abaixo. Essas informações são usadas posteriormente pela ferramenta certreq.exe para gerar a CSR (Certificate Signing Request, Solicitação de Assinatura de Certificado):

[NewRequest]
Subject = “CN=NEW-MSCEP-RA,OU=Cisco,O=Systems,L=Krakow,S=Malopolskie,C=PL”
Exportable = TRUE
KeyLength = 2048
KeySpec = 2
KeyUsage = 0x80
MachineKeySet = TRUE
ProviderName = “Microsoft Enhanced Cryptographic Provider v1.0″
ProviderType = 1

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.4.1.311.20.2.1

[RequestAttributes]
CertificateTemplate = EnrollmentAgentOffline

Dica: se você copiar este modelo de arquivo, certifique-se de ajustá-lo de acordo com seus requisitos e verifique se todos os caracteres foram copiados corretamente (incluindo aspas).

4.1.2. Crie o CSR com base no arquivo .INF com este comando:

certreq -f -new cisco_ndes_sign.inf cisco_ndes_sign.req

Se a caixa de diálogo de aviso Modelo de contexto do usuário entrar em conflito com o contexto da máquina for exibida, clique em OK. Este aviso pode ser ignorado.

4.1.3. Envie o CSR com este comando:

certreq -submit cisco_ndes_sign.req cisco_ndes_sign.cer

 Durante esse procedimento, uma janela é exibida e o CA apropriado deve ser escolhido.

4.1.4 Aceite o certificado emitido na etapa anterior. Como resultado desse comando, o novo certificado é importado e movido para o armazenamento pessoal do computador local:

certreq -accept cisco_ndes_sign.cer

4.2. Gerar o Certificado de Criptografia CEP

 4.2.1. Crie um novo arquivo cisco_ndes_xchg.inf:

[NewRequest]
Subject = "CN=NEW-MSCEP-RA,OU=Cisco,O=Systems,L=Krakow,S=Malopolskie,C=PL"

Exportable = TRUE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0x20
MachineKeySet = TRUE
ProviderName = “Microsoft RSA Schannel Cryptographic Provider”
ProviderType = 12

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.4.1.311.20.2.1

[RequestAttributes]
CertificateTemplate = CEPEncryption

Seguir as mesmas etapas descritas no ponto 4.1.

4.2.2. Gerar um CSR com base no novo arquivo .INF:

certreq -f -new cisco_ndes_xchg.inf cisco_ndes_xchg.req

4.2.3. Apresentar o pedido:

certreq -submit cisco_ndes_xchg.req cisco_ndes_xchg.cer

4.2.4: Aceite o novo certificado movendo-o para o armazenamento pessoal do computador local:

certreq -accept cisco_ndes_xchg.cer

5. Verificar

Após concluir a etapa 4, dois novos certificados MSCEP-RA serão exibidos no Repositório Pessoal do Computador Local:

Você também pode verificar os certificados com a ferramenta certutil.exe (certifique-se de usar o novo nome de certificado correto). Os certificados MSCEP-RA com novos Nomes Comuns e novos Números de Série devem ser exibidos:

certutil -store MY NEW-MSCEP-RA

6. Reiniciar o IIS

Reinicie o servidor IIS (Serviços de Informações da Internet) para aplicar as alterações:

iisreset.exe

7. Criar novo perfil SCEP RA

No ISE, crie um novo perfil SCEP RA (com a mesma URL de servidor que a antiga), para que novos certificados sejam baixados e adicionados ao Repositório de Certificados Confiáveis:

8. Modificar modelo de certificado

Certifique-se de que o novo perfil SCEP RA esteja especificado no modelo de certificado usado pelo BYOD (você pode verificá-lo em Administração > Sistema > Certificados > Autoridade de certificado > Modelos de certificados):

Referências

 1. Artigo da zona Microsoft Technet

 2. Guias de configuração do Cisco ISE